habrahabr

DNS безалаберность Вконтакте и других компаний

  • среда, 11 мая 2016 г. в 03:17:04
https://habrahabr.ru/post/283116/
  • Системное администрирование
  • Серверное администрирование
  • DNS


Как известно, система DNS в сети Интернет является одной из ключевых. Без неё невозможно представить современное состояние сети.

Любая ошибка в публикации DNS записей или даже кратковременная неработоспособность этого сервиса может привести к весьма печальным результатам, например потери трафика от пользователей. С другой стороны DNS исключительно хорошо масштабируется и толерантен к сбоям единичных серверов.
DNS важен, профессионалы это понимают. И несмотря на это ошибки в управлении им встречаются даже у самых больших компаний. И не замечаются ими, пока не приводят к существенным проблемам.

Например, список DNS ошибок у не требующей представления компании Вконтакте:
У регистратора vk.com указан следующий список авторитативных серверов домена:
- ns1.vkontakte.ru
- ns2.vkontakte.ru
- ns3.vkontakte.ru
- ns4.vkontakte.ru


На самих авторитативных серверах Вконтакте указан следующий список:
- ns1.vkontakte.ru
- ns2.vkontakte.ru
- ns4.vkontakte.ru

Он отличается от списка у регистратора!

Более того сервер ns2.vkontakte.ru [93.186.224.100] не отвечает на запросы, по крайней мере уже несколько дней.

Ошибка Skype и Microsoft:
В ответах на запросы к cloudapp.net не возвращается Authority Section.
В частности в ответе на тип запроса “AAAA” к skypeecs-prod-euw-0-b.cloudapp.net. Из за этого негативный ответ на такой запрос нельзя кешировать, так как непонятно насколько по времени это можно сделать, если строго соблюдать RFC.

Ошибка Twitter и Dyn:
В ответах на запросы к platform.twitter.com при типе запросов NS сервера Dyn, обслуживающие Twitter отвечают что такой записи не существует. При этом на любой другой тип запросов к этому же имени они отвечают записью CNAME.
Соответственно, если у нас уже закеширован этот ответ на тип запроса NS то, если строго соблюдать стандарты RFC, мы не можем закешировать CNAME в ответе к этому же имени для других типов запросов. Собственно в этом случае поведение кеширующего рекурсивного сервера не детерминировано по стандартам и отдано на откуп собственной логике программиста.

Ошибок у перечисленных компаний больше чем описано в данной статье, но из за нежелания перегружать статью я позволил себе их не публиковать.

Все опубликованные ошибки были актуальны на 7 Мая 2016. В тот момент когда вы будете читать эту статью их может уже не быть.