SlideShare una empresa de Scribd logo

20120926 web perf-dns_v1

Descargar como PPTX, PDF
S
Sergim

El documento presenta una agenda sobre el funcionamiento y rendimiento del Sistema de Nombres de Dominio (DNS). Explica que el DNS mapea nombres de dominio a direcciones IP de forma jerárquica y distribuida para facilitar la navegación en Internet. También cubre temas de seguridad, tipos de registros, opciones de proveedores como anycast y unicast, y problemas comunes como la determinación del origen del usuario.

1 de 25
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26 Septiembre 2012 @ URL LaSalle WebPerf DNS
Agenda  ¿Para qué sirve el DNS?  ¿Es seguro?  Tipos de registros  ¿NoSQL?  Rendimiento y WPO  Anycast vs. Unicast  Proveedores y opciones  Problemas en DNS
¿Para qué sirve el DNS?  Porque a los humanos nos cuesta recordar números  Porque nos es fácil una estructura jerárquica www.dominio.tld  Porque las máquinas necesitan de “números” de tamaño finito (IPv4 = 32 bits, IPv6 =128 bits)
¿Cómo funciona?
www.Google.es Ejemplos (Google.es)
www.lacaixa.es
www.lacaixa.es
www.lacaixa.es
www.lacaixa.es Y ahora ya nos podemos conectar al nodo de AK
¿Es seguro?  Es fácilmente escalable y redundable  Es de gestión distribuida  Un DNS intermedio (ISP, gobierno, “malo”) puede entregar otros resultados.  Censura/Filtrado de contenidos no afines: ▪ Obligo a todos los ISPs que den de alta la zona de dominioquenomegusta.com en sus resolvers, nadie se puede conectar  Interceptación de navegación: Evito el troyano 
¿Es seguro? DNSSEC  La “CA” es el Root (.)  Los gTLD y ccTLD se firman y pueden delegar a sus zonas (.com, .fr, .cat, .es)  Las zonas pueden firmar sus respuestas (google.com, versign.com, gencat.cat)  Nuevos registros  RRSIG, DNSKEY, DS, NSEC* xpnti@firewall-1:~$ dig +dnssec gencat.cat ;; ANSWER SECTION: gencat.cat. 843 IN A 83.247.129.60 gencat.cat. 843 IN RRSIG A 8 2 3600 20120929111758 20120925104809 10623 gencat.cat. GTDljvkdhDCSvO3z3+tcUuv8hNx3hfQIxlQmWJQQTzdgRtoUluoVN7BR /Etry3MLdkgauQvcnP3QtFE7+dgRBjhHWISmEMGOUcXfbGk5QmwHbhrQ kHKu/Jhz7vnADyJhMLgprHmu0B4JCfDYdZh1MCwOF5gdi67/N+K2qRaB YeM=
¿Es seguro? DNSSEC Deployment http://eggert.org/meter/dnssec @ 26 set 2012
Tipos de registros Registro Descripción A IPv4 AAAA IPv4 (32 bits * 4=128 Bits) CNAME Alias a nombre TXT Cualquier cosa . Descifrarlo es cosa del client DS/DNSKEY/RRSIG/etc DNSSEC SRV Localizador de servidores HTTP -> xxx MX Servidores de correo SOA Inicio de autoridad. Server, versión, timers NS Servidores de la zona Otros http://en.wikipedia.org/wiki/List_of_DNS_record_types ANAME / Alias Auto CNAME -> Dnsmadeeasy, Route53
¿NoSQL?  Distribuido  Consistencia eventual  Optimizado para lecturas (millones:1)  Clave Valor con esquema simple  Ejemplo:  Clamav para saber si está actualizado xpnti@firewall-1:~$ host -t txt current.cvd.clamav.net; perl -e 'printf "%dn", time;' current.cvd.clamav.net descriptive text "0.97.6:54:15405:1348655341:1:63:39933:190" 1348657358 xpnti@firewall-1:~$ echo $(((1348657358-1348655341)/60)) 33 minutos
Rendimiento y WPO  Antes de conectar, tenemos que saber donde!  Si tenemos N nombres, tocará preguntar a todos - imgX.static.com  Cuidado con TLD “raros”  Cuidado con cadenas de CNAMEs  Cuidado con TTLs bajos. Usarlos donde de verdad sea útil  Redirecciones a otros nombres (m.domain.com)  El servidor más lento/lejano se usará -> Anycast (RTT banding)
Rendimiento y WPO Usuario FTTH <10 ms a ISP Avg: 132 ms 8 threads DNS
Rendimiento y WPO Usuario FTTH <10 ms a ISP ISP Resolver Avg: 153 ms DNS+TCP DNS = 132 ms TCP = 21 ms
Rendimiento y WPO  Reducir número de nombres  Reducir número consultas (TTL / CNAMES)  Infraestructura DNS  Acercar servidores a los resolvers de los usuarios  Reducir número de NS por dominio  Protecciones DDoS, SLA, etc..
Rendimiento y WPO  Opción fácil de tolerancia a fallos CPD:  2 Varnish en ubicaciones diferentes  Acceden al backend vía VPN / Inet  Publicamos las dos IP en DNS ▪ Round Robin, Ordenado o Geo  Si un CPD resulta afectado, podemos o mostrar 503 o restaurar servicios y mantener TTL altos  Los navegadores intentan por orden las IP y saltan por timeout  Disponibilidad tipo >99%
Anycast vs. Unicast  Unicast = No hay Ips repetidas  Anycast = Una misma IP en ubicaciones distintas http://velocityconf.com/velocity2012/public/schedule/detail/24842
Anycast vs. Unicast  Por BGP al más cercano  Menos NS/dominio -> menos RTT banding  Tolerancia a DDoS (si D es pequeña)
Proveedores y opciones  Unicast: Casi todos los registrars, hosting, etc… Va “gratis” con el servicio  Anycast: UltraDNS, Dyn, DnsMadeEasy, easyDNS  Anycast “listo”: AWS Route53, Cedexis, “Cotendo”
Proveedores y opciones  “Listo”= Algo más que detectar failover o Geo estático  Route53: Round robin con pesos y/o latencia (que no Geo)  Cedexis: En tiempo real monitoriza y decide + PHP  Cotendo: Lenguaje script para actualizar
Problemas en DNS  Autoritativo contacta con Resolver no Cliente  Problemas con determinación origen  EDNS-Subnet, en muy beta… ni RFC… dig +short www.lacaixa.es 23.51.65.157 ping 23.51.65.157 Respuesta desde 23.51.65.157: bytes=32 tiempo=13ms TTL=58 dig +short www.lacaixa.es @8.8.8.8 23.51.161.157 ping 23.51.161.157 Respuesta desde 23.51.161.157: bytes=32 tiempo=34ms TTL=55 dig +short www.lacaixa.es @217.13.116.4 23.37.161.157 ping 23.37.161.157 Respuesta desde 23.37.161.157: bytes=32 tiempo=61ms TTL=53
Sergi Morales, CISM Founder & CTO e: Sergi.Morales@expertosenti.com w: www.expertosenti.com t: 668897684 (6688-XPNTI) b: blog.expertosenti.com l: www.linkedin.com/in/sergimorales

Más contenido relacionado

PDF
DDoS detection at small ISP by Wardner Maia
Pavel Odintsov
 
PPTX
Fail2 ban
yaneli14
 
PDF
Filtrado der contenido web con GNU/Linux y Squid
Jorge Medina
 
PDF
Configurar dns
César Enrique Encina León
 
PDF
Apuntes servidores
Rene Zenteno
 
PDF
Squid
Omar Antonio
 
PPTX
Squid
MarianoAgustin
 
PDF
Introducción a Dnssec
Fernando Parrondo
 
DDoS detection at small ISP by Wardner Maia
Pavel Odintsov
 
Fail2 ban
yaneli14
 
Filtrado der contenido web con GNU/Linux y Squid
Jorge Medina
 
Configurar dns
César Enrique Encina León
 
Apuntes servidores
Rene Zenteno
 
Squid
Omar Antonio
 
Squid
MarianoAgustin
 
Introducción a Dnssec
Fernando Parrondo
 

La actualidad más candente (19)

PDF
Curso Squid avanzado
Miguel Angel Nieto
 
DOCX
Filtro de contenido web
Gaspar Méndez
 
PDF
Curso SMTP
Miguel Angel Nieto
 
ODP
Proxy Squid en Ubuntu
jferrer1974
 
ODP
Proxy
guestc9123a
 
PDF
Puertos bienconocidos
Victor Caleb Cantu Perez
 
PDF
Puertos Bien Conocidos
Victor Caleb Cantu Perez
 
PDF
Instalación de un servicio de proxy, Squid
Javichu Moya
 
PDF
Curso SMTP avanzado
Miguel Angel Nieto
 
PPTX
Fail2 ban
yaneli14
 
DOCX
Proyecto 7
ElisabetBlanco
 
PDF
Write up desafio 20 eset
jeysonh
 
PDF
Apache avanzado
Miguel Angel Nieto
 
PPTX
Taller comandos para solucionar problemas en la red
guestf6e4f00
 
PPT
Presentacion Squid
alexmerono
 
DOCX
Manual de uso_de_squid
César Ramiro Martinez
 
DOCX
Manual de squid creado por juanextk
juanextk
 
PDF
Instalación y Configuración de un Servidor Proxy en Linux Ubuntu
Marcelo Alcivar
 
PPTX
Uso de wireshark presentacion
Hector Arbelaez
 
Curso Squid avanzado
Miguel Angel Nieto
 
Filtro de contenido web
Gaspar Méndez
 
Curso SMTP
Miguel Angel Nieto
 
Proxy Squid en Ubuntu
jferrer1974
 
Proxy
guestc9123a
 
Puertos bienconocidos
Victor Caleb Cantu Perez
 
Puertos Bien Conocidos
Victor Caleb Cantu Perez
 
Instalación de un servicio de proxy, Squid
Javichu Moya
 
Curso SMTP avanzado
Miguel Angel Nieto
 
Fail2 ban
yaneli14
 
Proyecto 7
ElisabetBlanco
 
Write up desafio 20 eset
jeysonh
 
Apache avanzado
Miguel Angel Nieto
 
Taller comandos para solucionar problemas en la red
guestf6e4f00
 
Presentacion Squid
alexmerono
 
Manual de uso_de_squid
César Ramiro Martinez
 
Manual de squid creado por juanextk
juanextk
 
Instalación y Configuración de un Servidor Proxy en Linux Ubuntu
Marcelo Alcivar
 
Uso de wireshark presentacion
Hector Arbelaez
 
Publicidad

Similar a 20120926 web perf-dns_v1 (20)

PPTX
Ivaric_proyecto
Iván López
 
PPTX
Dns basics 20140422-2 - citel - spanish
Eudy Zerpa
 
DOC
Puertos tcp mas usados
Sonia Fernandez Sapena
 
DOCX
Puertos comunicacion
Bertha Vega
 
PPTX
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
RootedCON
 
PPTX
Todo Sobre El Dns
Edwin Cusco
 
PPTX
Fundamentos Basicos de Redes.pptxpara presentar en redes
lisbethvillafuerte1
 
PPTX
Administracion de servidores en infraestructura.pptx
dianaherediag
 
PDF
7.herramientas de redes
Ramiro Estigarribia Canese
 
PDF
Smtp
Irontec
 
PDF
Actividad de servicios
cifuentesjimenezlaura
 
PDF
Actividad de servicios (1)
alejagomex
 
PDF
Puertos comunes.pdf
juanrolandoramosali
 
PDF
DHCP, DNS, whois
Dani Gutiérrez Porset
 
PDF
Instalar servidores en debian
Sebastiian Velasquez
 
PDF
Puertos de linux
Giovani Hernandez
 
PDF
Comandos de red
tecnologiacetis100
 
PDF
Comandos de red
tecnologiacetis100
 
PPT
ProtoColo tcp_ip
Comdat4
 
PPT
TCP IP
Comdat4
 
Ivaric_proyecto
Iván López
 
Dns basics 20140422-2 - citel - spanish
Eudy Zerpa
 
Puertos tcp mas usados
Sonia Fernandez Sapena
 
Puertos comunicacion
Bertha Vega
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
RootedCON
 
Todo Sobre El Dns
Edwin Cusco
 
Fundamentos Basicos de Redes.pptxpara presentar en redes
lisbethvillafuerte1
 
Administracion de servidores en infraestructura.pptx
dianaherediag
 
7.herramientas de redes
Ramiro Estigarribia Canese
 
Smtp
Irontec
 
Actividad de servicios
cifuentesjimenezlaura
 
Actividad de servicios (1)
alejagomex
 
Puertos comunes.pdf
juanrolandoramosali
 
DHCP, DNS, whois
Dani Gutiérrez Porset
 
Instalar servidores en debian
Sebastiian Velasquez
 
Puertos de linux
Giovani Hernandez
 
Comandos de red
tecnologiacetis100
 
Comandos de red
tecnologiacetis100
 
ProtoColo tcp_ip
Comdat4
 
TCP IP
Comdat4
 
Publicidad

Más de Sergim (6)

PPTX
Azure BootCamp BCN Enredando nubes
Sergim
 
PDF
DirectConnect 4 Sudoers BCN
Sergim
 
PPTX
Clouds on the horizon? Mejores prácticas para el despliegue de aplicaciones e...
Sergim
 
PPTX
Servicios Gestionados @ asLAN Nexica
Sergim
 
PPTX
Aceleración Web, Nexica
Sergim
 
PPTX
CloudCamp Madrid, Nexica
Sergim
 
Azure BootCamp BCN Enredando nubes
Sergim
 
DirectConnect 4 Sudoers BCN
Sergim
 
Clouds on the horizon? Mejores prácticas para el despliegue de aplicaciones e...
Sergim
 
Servicios Gestionados @ asLAN Nexica
Sergim
 
Aceleración Web, Nexica
Sergim
 
CloudCamp Madrid, Nexica
Sergim
 

20120926 web perf-dns_v1

  • 1. 26 Septiembre 2012 @ URL LaSalle WebPerf DNS
  • 2. Agenda  ¿Para qué sirve el DNS?  ¿Es seguro?  Tipos de registros  ¿NoSQL?  Rendimiento y WPO  Anycast vs. Unicast  Proveedores y opciones  Problemas en DNS
  • 3. ¿Para qué sirve el DNS?  Porque a los humanos nos cuesta recordar números  Porque nos es fácil una estructura jerárquica www.dominio.tld  Porque las máquinas necesitan de “números” de tamaño finito (IPv4 = 32 bits, IPv6 =128 bits)
  • 9. www.lacaixa.es Y ahora ya nos podemos conectar al nodo de AK
  • 10. ¿Es seguro?  Es fácilmente escalable y redundable  Es de gestión distribuida  Un DNS intermedio (ISP, gobierno, “malo”) puede entregar otros resultados.  Censura/Filtrado de contenidos no afines: ▪ Obligo a todos los ISPs que den de alta la zona de dominioquenomegusta.com en sus resolvers, nadie se puede conectar  Interceptación de navegación: Evito el troyano 
  • 11. ¿Es seguro? DNSSEC  La “CA” es el Root (.)  Los gTLD y ccTLD se firman y pueden delegar a sus zonas (.com, .fr, .cat, .es)  Las zonas pueden firmar sus respuestas (google.com, versign.com, gencat.cat)  Nuevos registros  RRSIG, DNSKEY, DS, NSEC* xpnti@firewall-1:~$ dig +dnssec gencat.cat ;; ANSWER SECTION: gencat.cat. 843 IN A 83.247.129.60 gencat.cat. 843 IN RRSIG A 8 2 3600 20120929111758 20120925104809 10623 gencat.cat. GTDljvkdhDCSvO3z3+tcUuv8hNx3hfQIxlQmWJQQTzdgRtoUluoVN7BR /Etry3MLdkgauQvcnP3QtFE7+dgRBjhHWISmEMGOUcXfbGk5QmwHbhrQ kHKu/Jhz7vnADyJhMLgprHmu0B4JCfDYdZh1MCwOF5gdi67/N+K2qRaB YeM=
  • 12. ¿Es seguro? DNSSEC Deployment http://eggert.org/meter/dnssec @ 26 set 2012
  • 13. Tipos de registros Registro Descripción A IPv4 AAAA IPv4 (32 bits * 4=128 Bits) CNAME Alias a nombre TXT Cualquier cosa . Descifrarlo es cosa del client DS/DNSKEY/RRSIG/etc DNSSEC SRV Localizador de servidores HTTP -> xxx MX Servidores de correo SOA Inicio de autoridad. Server, versión, timers NS Servidores de la zona Otros http://en.wikipedia.org/wiki/List_of_DNS_record_types ANAME / Alias Auto CNAME -> Dnsmadeeasy, Route53
  • 14. ¿NoSQL?  Distribuido  Consistencia eventual  Optimizado para lecturas (millones:1)  Clave Valor con esquema simple  Ejemplo:  Clamav para saber si está actualizado xpnti@firewall-1:~$ host -t txt current.cvd.clamav.net; perl -e 'printf "%dn", time;' current.cvd.clamav.net descriptive text "0.97.6:54:15405:1348655341:1:63:39933:190" 1348657358 xpnti@firewall-1:~$ echo $(((1348657358-1348655341)/60)) 33 minutos
  • 15. Rendimiento y WPO  Antes de conectar, tenemos que saber donde!  Si tenemos N nombres, tocará preguntar a todos - imgX.static.com  Cuidado con TLD “raros”  Cuidado con cadenas de CNAMEs  Cuidado con TTLs bajos. Usarlos donde de verdad sea útil  Redirecciones a otros nombres (m.domain.com)  El servidor más lento/lejano se usará -> Anycast (RTT banding)
  • 16. Rendimiento y WPO Usuario FTTH <10 ms a ISP Avg: 132 ms 8 threads DNS
  • 17. Rendimiento y WPO Usuario FTTH <10 ms a ISP ISP Resolver Avg: 153 ms DNS+TCP DNS = 132 ms TCP = 21 ms
  • 18. Rendimiento y WPO  Reducir número de nombres  Reducir número consultas (TTL / CNAMES)  Infraestructura DNS  Acercar servidores a los resolvers de los usuarios  Reducir número de NS por dominio  Protecciones DDoS, SLA, etc..
  • 19. Rendimiento y WPO  Opción fácil de tolerancia a fallos CPD:  2 Varnish en ubicaciones diferentes  Acceden al backend vía VPN / Inet  Publicamos las dos IP en DNS ▪ Round Robin, Ordenado o Geo  Si un CPD resulta afectado, podemos o mostrar 503 o restaurar servicios y mantener TTL altos  Los navegadores intentan por orden las IP y saltan por timeout  Disponibilidad tipo >99%
  • 20. Anycast vs. Unicast  Unicast = No hay Ips repetidas  Anycast = Una misma IP en ubicaciones distintas http://velocityconf.com/velocity2012/public/schedule/detail/24842
  • 21. Anycast vs. Unicast  Por BGP al más cercano  Menos NS/dominio -> menos RTT banding  Tolerancia a DDoS (si D es pequeña)
  • 22. Proveedores y opciones  Unicast: Casi todos los registrars, hosting, etc… Va “gratis” con el servicio  Anycast: UltraDNS, Dyn, DnsMadeEasy, easyDNS  Anycast “listo”: AWS Route53, Cedexis, “Cotendo”
  • 23. Proveedores y opciones  “Listo”= Algo más que detectar failover o Geo estático  Route53: Round robin con pesos y/o latencia (que no Geo)  Cedexis: En tiempo real monitoriza y decide + PHP  Cotendo: Lenguaje script para actualizar
  • 24. Problemas en DNS  Autoritativo contacta con Resolver no Cliente  Problemas con determinación origen  EDNS-Subnet, en muy beta… ni RFC… dig +short www.lacaixa.es 23.51.65.157 ping 23.51.65.157 Respuesta desde 23.51.65.157: bytes=32 tiempo=13ms TTL=58 dig +short www.lacaixa.es @8.8.8.8 23.51.161.157 ping 23.51.161.157 Respuesta desde 23.51.161.157: bytes=32 tiempo=34ms TTL=55 dig +short www.lacaixa.es @217.13.116.4 23.37.161.157 ping 23.37.161.157 Respuesta desde 23.37.161.157: bytes=32 tiempo=61ms TTL=53
  • 25. Sergi Morales, CISM Founder & CTO e: Sergi.Morales@expertosenti.com w: www.expertosenti.com t: 668897684 (6688-XPNTI) b: blog.expertosenti.com l: www.linkedin.com/in/sergimorales