サーバーの内部グループに対するすべてのクエリを解決するDNSサーバーがあります。これはCentOS5.5(RHEL5と同じ)のバインドであり、フォワーダーなしで再帰と解決方向を許可するように設定しました。
私が直面している問題は、名前を初めて解決するのに非常に長い時間がかかることです。 (20秒の大きさで)これにより、クライアントはタイムアウトになります。
すべてをGoogleのパブリックDNS、つまり8.8.8.8 + 8.8.4.4に転送するように設定すると、非常にうまく機能します(1秒以内)。
ネット上のトラフィックを監視して、なぜこれが行われているのかを確認してみました。
[root@ns1 ~]# tcpdump -nnvvvA -s0 udp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:06:36.137797 IP (tos 0x0, ttl 64, id 35903, offset 0, flags [none], proto: UDP (17), length: 60) 172.17.1.10.36942 > 172.17.1.4.53: [udp sum ok] 19773+ A? www.Paypal.com. (32)
E..<[email protected]...
.....N.5.(6.M=...........www.Paypal.com.....
23:06:36.140594 IP (tos 0x0, ttl 64, id 56477, offset 0, flags [none], proto: UDP (17), length: 71) 172.17.1.4.6128 > 192.35.51.30.53: [udp sum ok] 10105 [1au] A? www.Paypal.com. ar: . OPT UDPsize=4096 (43)
E..G....@........#3....5.3fR'y...........www.Paypal.com.......)........
23:06:38.149756 IP (tos 0x0, ttl 64, id 13078, offset 0, flags [none], proto: UDP (17), length: 71) 172.17.1.4.52425 > 192.54.112.30.53: [udp sum ok] 54892 [1au] A? www.Paypal.com. ar: . OPT UDPsize=4096 (43)
[email protected]&.....6p....5.3.q.l...........www.Paypal.com.......)........
23:06:40.159725 IP (tos 0x0, ttl 64, id 43016, offset 0, flags [none], proto: UDP (17), length: 71) 172.17.1.4.24059 > 192.42.93.30.53: [udp sum ok] 11205 [1au] A? www.Paypal.com. ar: . OPT UDPsize=4096 (43)
E..G....@..@.....*].]..5.3..+............www.Paypal.com.......)........
23:06:41.141403 IP (tos 0x0, ttl 64, id 35904, offset 0, flags [none], proto: UDP (17), length: 60) 172.17.1.10.36942 > 172.17.1.4.53: [udp sum ok] 19773+ A? www.Paypal.com. (32)
E..<.@..@..@...
.....N.5.(6.M=...........www.Paypal.com.....
23:06:42.169652 IP (tos 0x0, ttl 64, id 44001, offset 0, flags [none], proto: UDP (17), length: 60) 172.17.1.4.9141 > 192.55.83.30.53: [udp sum ok] 1184 A? www.Paypal.com. (32)
E..<[email protected].#..5.(...............www.Paypal.com.....
23:06:42.207295 IP (tos 0x0, ttl 54, id 38004, offset 0, flags [none], proto: UDP (17), length: 205) 192.55.83.30.53 > 172.17.1.4.9141: [udp sum ok] 1184- q: A? www.Paypal.com. 0/3/3 ns: Paypal.com. NS ns1.isc-sns.net., Paypal.com. NS ns2.isc-sns.com., Paypal.com. NS ns3.isc-sns.info. ar: ns1.isc-sns.net. AAAA 2001:470:1a::1, ns1.isc-sns.net. A 72.52.71.1, ns2.isc-sns.com. A 38.103.2.1 (177)
E....t..6./A.7S......5#..................www.Paypal.com..................ns1.isc-sns.net..............ns2.isc-sns...............ns3.isc-sns.info..,.......... ..p.............,..........H4G..I..........&g..
(this goes on for a few more seconds)
注意深く見ると、最初の3〜4個のルートサーバーがまったく応答しなかったことがわかります。そのうちの1つが応答するまで、これは7〜8秒を浪費します。
ここで何か間違った設定をしたと思いますか?興味深いことに、応答しなかったルートサーバーから直接掘り下げた場合、常に非常に高速に応答します(ファイアウォール/ NATを表示することはここでは問題ではありません)。例えば。
Dig www.Paypal.com @192.35.51.30
完全に、一貫して、そして非常に高速に動作します。この謎についてどう思いますか?
DNSサーバーとインターネットの間にファイアウォールが壊れていて、DNSSECでは通常の長いDNS応答がドロップされているのではないかと強く疑っています。 「+ dnssec」オプションを指定してDigを実行し、タイムアウトが開始されるかどうかを確認してください。
Cisco PIX/ASAは、ごく最近のバージョンまで、デフォルトで次のように動作することが知られています: https://supportforums.Cisco.com/thread/201339 。