poznamky k ctvrtecnimu vypadku site

Ludvik Urban lu at argo.troja.mff.cuni.cz
Mon Feb 14 10:22:59 CET 2000 

Dobry den,
dovoluji si zde prezentovat pozorovani sveho kolegy:

Ve ctvrtek doslo k nekolikahodinovemu vypadku spojeni Cesnetu (vcetne
TEN-155 CZ) se zahranicim. Zvlastni bylo, ze aspon pro nektere to
znamenalo faktickou ztratu spojeni kamkoli vcetne tuzemska, ackoli
peeringova spojeni s ostatnimi ceskymi sitemi fungovala. Problem byl
totiz ten, ze jim vnitrostatne nefungovalo DNS. Jini zas tento problem
nepozorovali. Domnivam se, ze pricina byla nasledujici: autoritativni
nameservery pro domenu "cz" hlasi seznam ns pro teze domenu s TTL 5
hodin...

cz.     18000   NS      ns.eu.net.
cz.     18000   NS      ns.uu.net.
cz.     18000   NS      sparky.arl.mil.
cz.     18000   NS      sunic.sunet.se.
cz.     18000   NS      cz.eunet.cz.
cz.     18000   NS      ns.eunet.cz.
cz.     18000   NS      ns2.nic.fr.

zatimco korenove ns uvadeji TTL 2 dny, tj. skoro desetkrat vetsi...

cz.     172800  NS      NS2.NIC.FR.
cz.     172800  NS      NS.EU.NET.
cz.     172800  NS      SPARKY.ARL.MIL.
cz.     172800  NS      SUNIC.SUNET.SE.
cz.     172800  NS      NS.UU.NET.
cz.     172800  NS      CZ.EUNET.cz.


Ted evidentne zalezi na tom, ktera z hodnot je povazovana za smerodatnou
pro lokalni DNS cache. Jestlize je to ta z korenovych ns, pak se informace
o nameserverech pro domenu "cz", z nichz aspon jeden byl stale dostupny,
s velkou pravdepodobnosti udrzela pres cely vypadek. Jestlize to byla ta
z cz.eunet.cz a spol., pak nejdele pet hodin po zacatku vypadku tyto
udaje z cache zmizely a postizeny nameserver je uz nezjistil, protoze
zadny z korenovych ns, kterych by se mohl zeptat, dostupny nebyl,
cili pro nej Cesko zmizelo z mapy. Jak jsem pochopil, tak nektere
(starsi) verze BINDu postupuji prvnim zpusobem, zatimco novejsi voli
druhy zpusob. (Kupodivu asi zadna z nich nedela to, ze kdyz neni schopna
ziskat novou autoritativni informaci o expirovanych zaznamech, tak bude
nejakou dost dlouhou dobu optimisticky predpokladat, ze setrvava posledni
znamy stav.)

Pominu-li fakt, ze je dost hloupe, ze cela velka sit ztrati spojeni
do sveta kvuli jednomu rypnuti bagrem a ze kdyby tomu tak nebylo,
tak by cely problem vubec nevzniknul, pak musim konstatovat, ze nechapu,
proc maji zaznamy v domene "cz" TTL pouhych 5 hodin -- specialne zaznamy o
ns, u kterych lze jen tezko predpokladat, ze se budou casto menit, a ktere
maji navic v nadrizene domene stejne TTL mnohem delsi.


--Pavel Kankovsky aka Peak
 --------------------------------------------
| Ludvik Urban     lu at argo.troja.mff.cuni.cz |
 --------------------------------------------

More information about the net mailing list