DNS解決が遅い

Question

サーバーの内部グループに対するすべてのクエリを解決するDNSサーバーがあります。これはCentOS5.5（RHEL5と同じ）のバインドであり、フォワーダーなしで再帰と解決方向を許可するように設定しました。

私が直面している問題は、名前を初めて解決するのに非常に長い時間がかかることです。（20秒の大きさで）これにより、クライアントはタイムアウトになります。

すべてをGoogleのパブリックDNS、つまり8.8.8.8 + 8.8.4.4に転送するように設定すると、非常にうまく機能します（1秒以内）。

ネット上のトラフィックを監視して、なぜこれが行われているのかを確認してみました。

[root@ns1 ~]# tcpdump -nnvvvA -s0 udp tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 23:06:36.137797 IP (tos 0x0, ttl 64, id 35903, offset 0, flags [none], proto: UDP (17), length: 60) 172.17.1.10.36942 > 172.17.1.4.53: [udp sum ok] 19773+ A? www.Paypal.com. (32) E..<.?..@..A... .....N.5.(6.M=...........www.Paypal.com..... 23:06:36.140594 IP (tos 0x0, ttl 64, id 56477, offset 0, flags [none], proto: UDP (17), length: 71) 172.17.1.4.6128 > 192.35.51.30.53: [udp sum ok] 10105 [1au] A? www.Paypal.com. ar: . OPT UDPsize=4096 (43) E..G....@........#3....5.3fR'y...........www.Paypal.com.......)........ 23:06:38.149756 IP (tos 0x0, ttl 64, id 13078, offset 0, flags [none], proto: UDP (17), length: 71) 172.17.1.4.52425 > 192.54.112.30.53: [udp sum ok] 54892 [1au] A? www.Paypal.com. ar: . OPT UDPsize=4096 (43) E..G3...@.j&.....6p....5.3.q.l...........www.Paypal.com.......)........ 23:06:40.159725 IP (tos 0x0, ttl 64, id 43016, offset 0, flags [none], proto: UDP (17), length: 71) 172.17.1.4.24059 > 192.42.93.30.53: [udp sum ok] 11205 [1au] A? www.Paypal.com. ar: . OPT UDPsize=4096 (43) E..G....@..@.....*].]..5.3..+............www.Paypal.com.......)........ 23:06:41.141403 IP (tos 0x0, ttl 64, id 35904, offset 0, flags [none], proto: UDP (17), length: 60) 172.17.1.10.36942 > 172.17.1.4.53: [udp sum ok] 19773+ A? www.Paypal.com. (32) E..<.@..@..@... .....N.5.(6.M=...........www.Paypal.com..... 23:06:42.169652 IP (tos 0x0, ttl 64, id 44001, offset 0, flags [none], proto: UDP (17), length: 60) 172.17.1.4.9141 > 192.55.83.30.53: [udp sum ok] 1184 A? www.Paypal.com. (32) E..<....@..e.....7S.#..5.(...............www.Paypal.com..... 23:06:42.207295 IP (tos 0x0, ttl 54, id 38004, offset 0, flags [none], proto: UDP (17), length: 205) 192.55.83.30.53 > 172.17.1.4.9141: [udp sum ok] 1184- q: A? www.Paypal.com. 0/3/3 ns: Paypal.com. NS ns1.isc-sns.net., Paypal.com. NS ns2.isc-sns.com., Paypal.com. NS ns3.isc-sns.info. ar: ns1.isc-sns.net. AAAA 2001:470:1a::1, ns1.isc-sns.net. A 72.52.71.1, ns2.isc-sns.com. A 38.103.2.1 (177) E....t..6./A.7S......5#..................www.Paypal.com..................ns1.isc-sns.net..............ns2.isc-sns...............ns3.isc-sns.info..,.......... ..p.............,..........H4G..I..........&g.. (this goes on for a few more seconds)

注意深く見ると、最初の3〜4個のルートサーバーがまったく応答しなかったことがわかります。そのうちの1つが応答するまで、これは7〜8秒を浪費します。

ここで何か間違った設定をしたと思いますか？興味深いことに、応答しなかったルートサーバーから直接掘り下げた場合、常に非常に高速に応答します（ファイアウォール/ NATを表示することはここでは問題ではありません）。例えば。

Dig www.Paypal.com @192.35.51.30

完全に、一貫して、そして非常に高速に動作します。この謎についてどう思いますか？

Max Alginin · Accepted Answer

DNSサーバーとインターネットの間にファイアウォールが壊れていて、DNSSECでは通常の長いDNS応答がドロップされているのではないかと強く疑っています。「+ dnssec」オプションを指定してDigを実行し、タイムアウトが開始されるかどうかを確認してください。

Cisco PIX/ASAは、ごく最近のバージョンまで、デフォルトで次のように動作することが知られています： https://supportforums.Cisco.com/thread/201339 。