SlideShare una empresa de Scribd logo

Bloqueo de quad-A en dns

Descargar como ODP, PDF
H
huguei

Presentación de un problema en el despliegue de IPv6 originado por el bloqueo de respuestas a consultas DNS por registros AAAA (quad-A). Se presenta diagnóstico y soluciones. Charla presentada en evento LACNIC XVI en el año 2011, Buenos Aires, Argentina.

Internet
1 de 18
Bloqueo de quad-A en DNS o “Retardos navegando en IPv6” Hugo Salgado NIC Chile Octubre 2011
El problema
Retardo en navegación web • Oficinas de NIC Chile con IPv6 nativo en dual stack. • Sitios web con lentitud en carga – uno de televisión tarda 45 segundos en cargar! • Comportamiento común: – browser se queda en “looking up...” – aunque tienen registro A sin problemas, el registro AAAA arroja error (timeout) en los servidores autoritativos.
El diagnóstico
Comportamiento de navegadores • Browsers con IPv6 activo consultan por A y AAAA al mismo tiempo. • Dependiendo del sistema operativo y browser, stub resolver espera que AAAA responda antes que A. – gethostbyname da timeout a los 5 segundos, y reintenta 2 veces más, totalizando 15 segundos. • Esto es anterior a “happy eyeballs”
No hay respuesta para quad-A • Los DNS autoritativos para estas zonas IGNORAN las consultas AAAA (nunca hay respuesta) • Un DNS puede – retornar AAAA (sí hay registros) – NOERROR + answers=0 (no hay AAAA pero sí existe el nombre) – NXDOMAIN (no existe el nombre) – RCODE!=NOERROR (no entiendo la pregunta) • Pero SIEMPRE debe responder!
Errores encadenados • En el caso de sitio de televisión, los timeouts se encadenan: – sitio en “www.<dominio>.cl” – CSS y javascripts en “static.<dominio>.cl” – imágenes y medios en “ads.<dominio>.cl” • Totalizando 45 segundos en cargar.
Los afectados
Zonas en .CL • Revisión exhaustiva de ~300k nombres .CL – Por restricciones de la herramienta sólo detectamos nombres con problemas en todos sus DNS – 392 dominios con bloqueo quad-A • Se han detectado (simplemente por uso!) nombres en otros TLDs.
Comportamiento en navegadores • El comportamiento es independiente del navegador – Firefox, Chrome, Safari, Explorer • Linux 2.6.35 (Fedora 14): 15 segundos • Windows Vista: 7 segundos • MacOSX Lion: 0 segundos
Posibles culpables • Fingerprinting revela DNS sanos en las respuestas correctas • Sospechoso algún middleware – firewall – balanceador de carga • Comportamiento recurrente: www apunta a CNAME y este tiene TTL pequeño (balanceo de carga por DNS) • Tampoco responde por otros RRs (SOA, TXT, etc)
Herramientas
Dominio de prueba • Se mantiene un servidor de nombres ad-hoc (simple y no muy robusto) para pruebas, con un dominio especial • qname: www.test-aaaa-block.cl
Cómo saber si mi dominio está bien? • Usar herramienta de diagnóstico de DNS – dig o drill % dig @ns.test-aaaa-block.cl www.test-aaaa-block.cl aaaa +norec [...] ;; connection timed out; no servers could be reached • Usar prueba disponible también en – http://www.test-aaaa-block.cl
Resumiendo
IPv6 te alcanzará, ¡aunque no hagas nada! ;)
Más información • Y. Morishita & T. Jinmei, “Common Misbehavior Against DNS Queries for IPv6 Addresses”, RFC 4074, May 2005.
Gracias Hugo Salgado NIC Chile hugo@nic.cl

Recomendados

Escalabilidad y alto rendimiento con Symfony2
Escalabilidad y alto rendimiento con Symfony2Escalabilidad y alto rendimiento con Symfony2
Escalabilidad y alto rendimiento con Symfony2Ricard Clau
 
Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Wilfredo Torres Moya
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
I pv6
I pv6I pv6
I pv6David Marza Herrera
 
Los motivos de i pv6 2016
Los motivos de i pv6 2016Los motivos de i pv6 2016
Los motivos de i pv6 2016Carlos Antonio Leal Saballos
 
Seminario de IPv6 con MikroTik RouterOS
Seminario de IPv6 con MikroTik RouterOSSeminario de IPv6 con MikroTik RouterOS
Seminario de IPv6 con MikroTik RouterOSProzcenter
 
IPv6 Modulo1
IPv6 Modulo1IPv6 Modulo1
IPv6 Modulo1bramstoker
 
IPv6 Modulo4
IPv6 Modulo4IPv6 Modulo4
IPv6 Modulo4bramstoker
 

Recomendados

Escalabilidad y alto rendimiento con Symfony2
Escalabilidad y alto rendimiento con Symfony2Escalabilidad y alto rendimiento con Symfony2
Escalabilidad y alto rendimiento con Symfony2Ricard Clau
 
Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Wilfredo Torres Moya
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
I pv6
I pv6I pv6
I pv6David Marza Herrera
 
Los motivos de i pv6 2016
Los motivos de i pv6 2016Los motivos de i pv6 2016
Los motivos de i pv6 2016Carlos Antonio Leal Saballos
 
Seminario de IPv6 con MikroTik RouterOS
Seminario de IPv6 con MikroTik RouterOSSeminario de IPv6 con MikroTik RouterOS
Seminario de IPv6 con MikroTik RouterOSProzcenter
 
IPv6 Modulo1
IPv6 Modulo1IPv6 Modulo1
IPv6 Modulo1bramstoker
 
IPv6 Modulo4
IPv6 Modulo4IPv6 Modulo4
IPv6 Modulo4bramstoker
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 
Configuracion del servidor dns en linux
Configuracion del servidor dns en linuxConfiguracion del servidor dns en linux
Configuracion del servidor dns en linuxCarlos Antonio Leal Saballos
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsCZSOTEC
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1Sergim
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Carlos Martinez Cagnazzo
 
Dns
DnsDns
DnsLuna Hermes
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquizaMaricela Poaquiza
 
ITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSRafael Gomez
 
Preventas Efectivas ITStrap y Palo Alto Networks
Preventas Efectivas ITStrap y Palo Alto NetworksPreventas Efectivas ITStrap y Palo Alto Networks
Preventas Efectivas ITStrap y Palo Alto NetworksITStrap
 
Introducción a Dnssec
Introducción a Dnssec Introducción a Dnssec
Introducción a Dnssec Fernando Parrondo
 
SERVIDOR DNS-1.pdf
SERVIDOR DNS-1.pdfSERVIDOR DNS-1.pdf
SERVIDOR DNS-1.pdfGabrielLv2
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Dns
DnsDns
DnsLusy Chisag
 
Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Damián Rotta
 
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.Cristian Reyes
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El DnsEdwin Cusco
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptRuben Tobar
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptRuben Tobar
 
Organizando un datacenter virtual
Organizando un datacenter virtualOrganizando un datacenter virtual
Organizando un datacenter virtualIgnacio Nin
 
Rendimiento extremo en php
Rendimiento extremo en phpRendimiento extremo en php
Rendimiento extremo en phpFrancisco Javier Vazquez Umbria
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadJonathanHctorSilvaRo
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 

Más contenido relacionado

Similar a Bloqueo de quad-A en dns

Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsCZSOTEC
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1Sergim
 
ITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSRafael Gomez
 
Preventas Efectivas ITStrap y Palo Alto Networks
Preventas Efectivas ITStrap y Palo Alto NetworksPreventas Efectivas ITStrap y Palo Alto Networks
Preventas Efectivas ITStrap y Palo Alto NetworksITStrap
 
SERVIDOR DNS-1.pdf
SERVIDOR DNS-1.pdfSERVIDOR DNS-1.pdf
SERVIDOR DNS-1.pdfGabrielLv2
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Damián Rotta
 
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.Cristian Reyes
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El DnsEdwin Cusco
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptRuben Tobar
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptRuben Tobar
 
Organizando un datacenter virtual
Organizando un datacenter virtualOrganizando un datacenter virtual
Organizando un datacenter virtualIgnacio Nin
 

Similar a Bloqueo de quad-A en dns (20)

Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanish
 
Configuracion del servidor dns en linux
Configuracion del servidor dns en linuxConfiguracion del servidor dns en linux
Configuracion del servidor dns en linux
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Dns
DnsDns
Dns
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
 
ITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNS
 
Preventas Efectivas ITStrap y Palo Alto Networks
Preventas Efectivas ITStrap y Palo Alto NetworksPreventas Efectivas ITStrap y Palo Alto Networks
Preventas Efectivas ITStrap y Palo Alto Networks
 
Introducción a Dnssec
Introducción a Dnssec Introducción a Dnssec
Introducción a Dnssec
 
SERVIDOR DNS-1.pdf
SERVIDOR DNS-1.pdfSERVIDOR DNS-1.pdf
SERVIDOR DNS-1.pdf
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Dns
DnsDns
Dns
 
Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)
 
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
FALLAS DE ARRANQUE EN EL OS Y CONTROLADORES DE SOFTWARE.
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El Dns
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.ppt
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.ppt
 
Organizando un datacenter virtual
Organizando un datacenter virtualOrganizando un datacenter virtual
Organizando un datacenter virtual
 
Rendimiento extremo en php
Rendimiento extremo en phpRendimiento extremo en php
Rendimiento extremo en php
 

Último

Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadJonathanHctorSilvaRo
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...CENECOnline
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoCENECOnline
 

Último (6)

Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuad
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC Mexico
 

Bloqueo de quad-A en dns

  • 1. Bloqueo de quad-A en DNS o “Retardos navegando en IPv6” Hugo Salgado NIC Chile Octubre 2011
  • 3. Retardo en navegación web • Oficinas de NIC Chile con IPv6 nativo en dual stack. • Sitios web con lentitud en carga – uno de televisión tarda 45 segundos en cargar! • Comportamiento común: – browser se queda en “looking up...” – aunque tienen registro A sin problemas, el registro AAAA arroja error (timeout) en los servidores autoritativos.
  • 5. Comportamiento de navegadores • Browsers con IPv6 activo consultan por A y AAAA al mismo tiempo. • Dependiendo del sistema operativo y browser, stub resolver espera que AAAA responda antes que A. – gethostbyname da timeout a los 5 segundos, y reintenta 2 veces más, totalizando 15 segundos. • Esto es anterior a “happy eyeballs”
  • 6. No hay respuesta para quad-A • Los DNS autoritativos para estas zonas IGNORAN las consultas AAAA (nunca hay respuesta) • Un DNS puede – retornar AAAA (sí hay registros) – NOERROR + answers=0 (no hay AAAA pero sí existe el nombre) – NXDOMAIN (no existe el nombre) – RCODE!=NOERROR (no entiendo la pregunta) • Pero SIEMPRE debe responder!
  • 7. Errores encadenados • En el caso de sitio de televisión, los timeouts se encadenan: – sitio en “www.<dominio>.cl” – CSS y javascripts en “static.<dominio>.cl” – imágenes y medios en “ads.<dominio>.cl” • Totalizando 45 segundos en cargar.
  • 9. Zonas en .CL • Revisión exhaustiva de ~300k nombres .CL – Por restricciones de la herramienta sólo detectamos nombres con problemas en todos sus DNS – 392 dominios con bloqueo quad-A • Se han detectado (simplemente por uso!) nombres en otros TLDs.
  • 10. Comportamiento en navegadores • El comportamiento es independiente del navegador – Firefox, Chrome, Safari, Explorer • Linux 2.6.35 (Fedora 14): 15 segundos • Windows Vista: 7 segundos • MacOSX Lion: 0 segundos
  • 11. Posibles culpables • Fingerprinting revela DNS sanos en las respuestas correctas • Sospechoso algún middleware – firewall – balanceador de carga • Comportamiento recurrente: www apunta a CNAME y este tiene TTL pequeño (balanceo de carga por DNS) • Tampoco responde por otros RRs (SOA, TXT, etc)
  • 13. Dominio de prueba • Se mantiene un servidor de nombres ad-hoc (simple y no muy robusto) para pruebas, con un dominio especial • qname: www.test-aaaa-block.cl
  • 14. Cómo saber si mi dominio está bien? • Usar herramienta de diagnóstico de DNS – dig o drill % dig @ns.test-aaaa-block.cl www.test-aaaa-block.cl aaaa +norec [...] ;; connection timed out; no servers could be reached • Usar prueba disponible también en – http://www.test-aaaa-block.cl
  • 16. IPv6 te alcanzará, ¡aunque no hagas nada! ;)
  • 17. Más información • Y. Morishita & T. Jinmei, “Common Misbehavior Against DNS Queries for IPv6 Addresses”, RFC 4074, May 2005.