Etikettarkiv: Frobbit!

Reflektioner efter DNS-testet

Irene Fertik, USC News Service. Copyright 1994, USCSom bekant så testade jag DNS-tjänsterna hos Binero, Loopia, Frobbit och GleSYS igår. Här kommer några av de reflektioner som jag och andra har gjort:

1. Troligtvis är anycast DNS det enda som skulle förhindrat den överbelastningsattack som genomfördes mot Loopia.

2. Att bara använda en enda TLD för sina namnservrar är inte bra om denna TLD skiter i det blå skåpet, som .SE – Stiftelsen för Internetinfrastruktur gjorde. Ingen av de leverantörerna jag testade igår har det som med standard. Observera dock att detta enbart gäller om du har domäner i andra TLD:er som är beroende av namnservrar i .SE-zon.

3. Jag tog aldrig pris, svarstider, upptider eller support i beaktning vilket du som beställare av en DNS-tjänst bör göra om du anser att det är viktigt. Se exempelvis det test som Christian Davén genomförde på upptider för webb.

4. Det framgår ej om en DNS har åtskilliga leverantörer för failover som GleSYS har.

5. 25% av alla .SE-domäner har problem och vi måste göra något åt det. Se pressrelease från .SE

6. Via ett så kallat BGP-looking glass så går det att se hur många vägar det finns till en specifik namnservers nät.  Sunet har en sådan tjänst exempelvis.

Bilden är på Jon Postel och det är honom vi kan tacka för att vi har DNS och många andra standarder i dag.

Postel’s Lag: ”be conservative in what you do, be liberal in what you accept from others” (ungefär ”be conservative in what you send, liberal in what you accept”).

Hur redundant är DNS hos webbhotellen?

Eftersom både Binero och Loopia har haft driftstörningar på sina DNS-tjänster (bl.a.) de senaste veckorna så tänkte jag att snabbt kolla hur det ligger till med redundansen hos några av de svenska webbhotellen som jag själv använder för mina domäner (>200 st). Det finns otaliga RFC:er som berättar och hjälper till vid uppsättning och konfigurering av DNS-servrar.

Bild från http://www.flickr.com/photos/70266899@N00/3672689387/

Binero DNS

Binero har följande DNS-servrar ns1.binero.se samt ns2.binero.se med IP-nummer 195.74.36.250 samt 195.74.37.250. Tittar vi på traceroute så kan vi se att de är anslutna bakom olika brandväggar men har en router em1.br1 som är gemensam nämnare. Geo IP lookup säger att båda återfinnes i Kista.

Även så ligger Bineros namnservrar på samma AS41528 (autonomous system). Tittar vi på antalet routrar etc som kan gå sönder mellan Telia och Binero så är det minst två enheter.

Namnservermjukvara är troligtvis Bind 9.4.2-P2.1 (enligt dig @ns2.binero.se version.bind txt chaos)

  • Betyg för Bineros DNS-tjänst: 1/4

Loopia DNS

Loopia har fyra DNS servrar där två av dem har samma IP-nummer, detta ger en falsk känsla av trygghet anser jag, så vi koncenterar oss på ns1.loopia.se samt ns2.loopia.se.

Den första namnserververn har IP-nummer 93.188.0.20 och andra har 93.188.0.21. På en traceroute så ser vi att hela vägen till namnservrarna som återfinnes i Västerås enligt Geo IP lookup har alla routerhop’s gemensamt. Dock så har Loopia enbart ett routerhop hos sig vilket kan ge en fingervisning om ett mindre antal komponenter som kan gå sönder. AS-nummer hos båda namnservrarna tillhör AS39570.

Loopia använder Bind version 9.6.1-P3.

  • Betyg för Loopias DNS-tjänst: 1/4

GleSYS DNS

GleSYS har tre namnservrar där alla är på olika /24 vilket kan båda gott. Vid en traceroute så kan vi se att GleSYS har minst två routerhop som är gemensamma och GeoIP samt min egen gissning säger att servrarna är i Falkenberg samt Stockholm. Alla tre namnservrar ligger under AS43948.

GleSYS använder PowerDNS samt Bind 9.4.2-P1 vilket ger lite extrapoäng.

  • Betyg för GleSYS DNS-tjänst: 2/4

Uppdaterat: Jonas från GleSYS har skrivit en kommentar som förtydligar att de använder fyra olika Internet-leverantörer (kan inte utläsas via traceroute).

Frobbit DNS

Frobbit har tre namnservrar där alla är utspridda på olika /8. Traceroute avslöjar att det inte finns några gemensamma komponenter och GeoIP lookup avslöjar att alla tre namnservrar är utspridda över världen USA bl.a. Även så är det olika AS. Frobbit ska även ha ett pluss i kanten för att två av tre namnservrar stödjer IPv6.

Namnservermjukvara är Bind med olika versioner: 9.4.3-P3, 9.7.2-P3 samt 9.4.3-P4.

  • Betyg för Frobbit DNS-tjänst: 3/4, bra jobbat!

Slutord

Kanske inte helt oväntat att Frobbit får bäst betyg när det gäller redundant DNS-leverans. Vad jag vet så är det ingen leverantör i Sverige som erbjuder anycast-DNS (för litet land? Finns excedodns.se som använder Dynect). Värt att tillägga är också att jag inte betalar specifikt för DNS-tjänsterna hos GleSYS, Loopia och Binero.

Jag anser att anycast bör användas för att erhålla 4/4 som betyg samt använda olika leverantörer av DNS-mjukvara.

Vad anser du?

Vidare läsning:

Lägg inte alla ägg i samma korg

Jag har länge levt efter filosofin att inte lägga alla ägg i samma korg när det gäller serverdrift. Jag använder mig därför av VPS:er samt Co-Location från följande operatörer:

Och när det gäller domändrift såsom DNS och domänregistreringar så använder jag mig av:

Fördelen med detta är att om någon operatör går ner som idag (Hej Binero!) så går inte allt ner.