Số lượng IP tối đa mà bản ghi DNS A có thể có là bao nhiêu?

Tôi có một ý tưởng lạ - cho phép nhiều người / tổ chức lưu trữ cùng một ứng dụng và để tất cả các nút của họ có thể truy cập được thông qua một tên miền. Đó là để có một mạng xã hội phân tán thực sự, nơi mà khả năng sử dụng không bị hy sinh (tức là người dùng không phải nhớ các url nhà cung cấp khác nhau và sau đó khi một nhà cung cấp ngừng hoạt động, hãy chuyển sang một nhà cung cấp khác)

Để đạt được điều đó, tôi nghĩ rằng một bản ghi DNS có nhiều IP có thể được sử dụng.

Vậy, một bản ghi DNS A có thể giữ được bao nhiêu IP? Câu trả lời này nói rằng khoảng 30, nhưng usecase thì khác. Đối với kịch bản trên, tôi sẽ không quan tâm nếu một ISP cụ thể chỉ lưu trữ 30, miễn là một ISP khác lưu trữ 30 khác, v.v.

Tuyên bố từ chối trách nhiệm: Không xúc phạm, nhưng đây là một ý tưởng thực sự tồi tệ. Tôi không khuyên mọi người làm điều này trong cuộc sống thực.

Nhưng nếu bạn cho một anh chàng IT nhàm chán một phòng thí nghiệm, những điều buồn cười sẽ xảy ra!

Đối với thử nghiệm này, tôi đã sử dụng máy chủ Microsoft DNS chạy trên Máy chủ 2012 R2. Do sự phức tạp của việc lưu trữ một vùng DNS trong Active Directory, tôi đã tạo một vùng chính mới có tên tests.com không được tích hợp AD.

Sử dụng tập lệnh này:

$Count = 1
for ($x = 1; $x -lt 256; $x++)
{
    for ($y = 1; $y -lt 256; $y++)
    {
        for ($z = 1; $z -lt 256; $z++)
        {
            Write-Host "1.$x.$y.$z`t( $Count )"
            $Count++
            dnscmd . /RecordAdd testing.com testing A 1.$x.$y.$z
        }
    }
}

Tôi đã tiến hành tạo, không có lỗi, 65025 bản ghi lưu trữ cho tên testing.testing.com., với mỗi địa chỉ IPv4 theo nghĩa đen từ 1.1.1.1 đến 1.1.255.255.

Sau đó, tôi muốn đảm bảo rằng tôi có thể vượt qua tổng số 65536 (2 ^ 16 bit) tổng số bản ghi A mà không có lỗi, và tôi có thể, vì vậy tôi cho rằng có lẽ tôi đã có thể đi hết 16581375 (1.1.1.1 đến 1.255 .255.255,) nhưng tôi không muốn ngồi đây và xem kịch bản này chạy suốt đêm.

Vì vậy, tôi nghĩ an toàn khi nói rằng không có giới hạn thực tế đối với số lượng bản ghi A bạn có thể thêm vào một vùng cho cùng tên với các IP khác nhau trên máy chủ của bạn.

Nhưng nó sẽ thực sự hoạt động từ quan điểm của khách hàng?

Đây là những gì tôi nhận được từ khách hàng của mình khi được xem bởi Wireshark:

(Mở hình ảnh trong tab trình duyệt mới để có kích thước đầy đủ.)

Như bạn có thể thấy, khi tôi sử dụng nslookup hoặc ping từ máy khách của mình, nó sẽ tự động đưa ra hai truy vấn - một UDP và một TCP. Như bạn đã biết, phần lớn tôi có thể nhồi nhét vào một datagram UDP là 512 byte, do đó, khi vượt quá giới hạn đó (như 20-30 địa chỉ IP,) người ta phải sử dụng TCP thay thế. Nhưng ngay cả với TCP, tôi chỉ nhận được một tập hợp con A bản ghi rất nhỏ cho tests.testing.com. 1000 hồ sơ đã được trả về mỗi truy vấn TCP. Danh sách các bản ghi A xoay đúng 1 với mỗi truy vấn liên tiếp, chính xác như cách bạn mong đợi DNS vòng tròn hoạt động. Nó sẽ mất hàng triệu truy vấn để làm tròn thông qua tất cả những điều này.

Tôi không thấy cách này sẽ giúp bạn làm cho mạng truyền thông xã hội có khả năng mở rộng, có khả năng phục hồi ồ ạt của bạn, tuy nhiên vẫn có câu trả lời của bạn.

Chỉnh sửa: Trong bình luận tiếp theo của bạn, bạn hỏi tại sao tôi nghĩ rằng đây thường là một ý tưởng tồi.

• Giả sử tôi là người dùng internet trung bình và tôi muốn kết nối với dịch vụ của bạn. Tôi gõ www.bozho.biz vào trình duyệt web của mình. Máy khách DNS trên máy tính của tôi nhận lại 1000 bản ghi. Chà, thật không may, 30 bản ghi đầu tiên trong danh sách không phản hồi vì danh sách các bản ghi A không được cập nhật hoặc có thể có sự cố mất điện quy mô lớn ảnh hưởng đến một đoạn internet. Giả sử trình duyệt web của tôi hết thời gian 5 giây cho mỗi IP trước khi nó tiếp tục và thử cái tiếp theo. Vì vậy, bây giờ tôi đang ngồi đây nhìn chằm chằm vào một chiếc đồng hồ cát quay trong 2 phút rưỡi chờ trang web của bạn tải. Không ai có thời gian cho việc đó. Và tôi chỉ giả sử rằng trình duyệt web của tôi hoặc bất kỳ ứng dụng nào tôi sử dụng để truy cập dịch vụ của bạn thậm chí sẽ cố gắng nhiều hơn 4 hoặc 5 địa chỉ IP đầu tiên. Có lẽ nó sẽ không.

• Nếu bạn đã sử dụng chức năng nhặt rác tự động và cho phép các bản cập nhật không xác thực hoặc ẩn danh vào vùng DNS với hy vọng giữ cho danh sách các bản ghi A luôn mới ... hãy tưởng tượng xem nó sẽ không an toàn đến mức nào! Ngay cả khi bạn thiết kế một số hệ thống mà khách hàng cần chứng chỉ TLS của khách hàng mà họ đã nhận được từ bạn trước đó để cập nhật vùng, một khách hàng bị xâm phạm ở bất cứ đâu trên hành tinh sẽ khởi động botnet và phá hủy dịch vụ của bạn. DNS truyền thống bấp bênh vì nó không có nguồn cung cấp đám đông.

• Sử dụng băng thông khiêm tốn và lãng phí. Nếu mọi truy vấn DNS yêu cầu băng thông 32 kilobyte trở lên, điều đó sẽ không có quy mô tốt.

• DNS round-robin không thay thế cho cân bằng tải thích hợp. Nó cung cấp không có cách nào để phục hồi từ một nút đi xuống hoặc không có sẵn ở giữa mọi thứ. Bạn có định hướng dẫn người dùng thực hiện ipconfig / flushdns nếu nút mà họ được kết nối không hoạt động không? Những loại vấn đề này đã được giải quyết bằng những thứ như GSLB và Anycast.

• V.v.

Để trả lời câu hỏi như đã nêu ("một bản ghi DNS A có thể giữ bao nhiêu IP?"), Câu trả lời rất đơn giản: một Abản ghi duy nhất giữ chính xác một địa chỉ. Tuy nhiên, có thể có nhiều Abản ghi cho cùng một tên.

Mỗi địa chỉ IPv4 sẽ chiếm 16 byte trong câu trả lời. Mỗi địa chỉ IPv6 sẽ chiếm 28 byte trong câu trả lời.

Chúng tôi khuyên bạn nên đảm bảo rằng câu trả lời sẽ phù hợp với 512 byte. Điều đó sẽ cho phép khoảng 25 địa chỉ IPv4 và 14 địa chỉ IPv6 (xem xét rằng bạn cũng cần một số thông tin khác trong gói). Giới hạn chính xác phụ thuộc vào độ dài của tên miền của bạn.

Nếu bạn có cả 25 địa chỉ IPv4 và 14 địa chỉ IPv6, thì bạn đang tính đến các máy khách yêu cầu địa chỉ IPv4 và IPv6 trong các truy vấn riêng biệt. Nếu khách hàng yêu cầu cả hai loại địa chỉ trong một truy vấn duy nhất (rất hiếm), thì bạn sẽ phải hạ xuống.

Nếu kích thước trả lời vượt quá 512 byte, nó vẫn có thể hoạt động trên UDP nếu máy khách và máy chủ hỗ trợ EDNS. Nếu không có EDNS, máy khách sẽ nhận được câu trả lời bị cắt ngắn và nó sẽ phải thử lại qua TCP. Điều này làm tăng giao tiếp từ 1 đến 4 vòng. Nhưng thậm chí tệ hơn, đôi khi có các cấu hình sai ngăn DNS qua TCP hoạt động.

Ngay cả khi bạn có thể ép hơn 14 địa chỉ vào thư trả lời mà không gây ra sự cố ở lớp DNS, thì rất có thể nó sẽ không hữu ích. Thời gian chờ được sử dụng bởi khách hàng trước khi từ bỏ một địa chỉ và tiếp tục đến địa chỉ tiếp theo thường rất đáng kể.

Phải chờ thời gian chờ đó dù chỉ một lần có thể dẫn đến trải nghiệm người dùng kém. Nếu khách hàng phải đi qua 14 địa chỉ trước khi nhận được phản hồi, người dùng sẽ phải chờ 13 lần hết giờ.

Những gì bạn đang mô tả không phải là một ý tưởng đặc biệt mới. Vì các câu trả lời khác đã được đề cập, bạn bị giới hạn về số lượng bản ghi A bạn có thể có trong một câu trả lời, nhưng điều đó không nói gì về tổng số bản ghi A có thể có.

Ví dụ, bạn có thể triển khai máy chủ DNS trả lời bất kỳ truy vấn nào cho bản ghi A có IP ngẫu nhiên. Đã truy vấn đủ số lần, điều này sẽ dẫn đến 4294967296 bản ghi A duy nhất: một bản ghi cho mỗi địa chỉ IPv4.

Như tôi đã nói, đây không phải là một ý tưởng mới. Trên thực tế, đó là một phần cách Akamai hoạt động (và có thể là rất nhiều CDN khác). Bản ghi bạn nhận được cho bất kỳ miền Akamai nào được xác định bởi các máy chủ DNS ma thuật đen của họ. Tôi đặt cược câu trả lời bạn nhận được phụ thuộc vào cân bằng tải động và mối quan tâm địa lý.

Ví dụ: tôi đã chọn a338.g.akamaitech.net. Nếu tôi nhìn vào máy tính của mình ngay bây giờ, nó sử dụng máy chủ tên được gán DHCP từ Comcast:

$ host a338.g.akamaitech.net
a338.g.akamaitech.net has address 23.3.98.65
a338.g.akamaitech.net has address 23.3.98.89

Nếu tôi hỏi DNS của Google thì sao?

$ host a338.g.akamaitech.net 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

a338.g.akamaitech.net has address 23.3.96.152
a338.g.akamaitech.net has address 23.3.96.120

Tôi đặt cược nếu bạn thử nó, tôi cá là bạn sẽ nhận được một câu trả lời khác. Akamai có bao nhiêu máy chủ biên phục vụ bất kỳ tài nguyên cụ thể nào? Hơn hai, tôi đặt cược.

Những người khác đã đề cập đến nó như một chi tiết, nhưng từ quan điểm thực tế, giới hạn cứng là giới hạn kích thước gói UDP là 512 byte. Mặc dù có thể chuyển sang TCP khi phát hiện cắt ngắn, nhưng trên thực tế, nhiều / hầu hết khách hàng sẽ không làm điều đó (và có thể là họ không nên; nó sẽ mang lại trải nghiệm xấu cho hầu hết các ứng dụng và tôi chỉ mong đợi chuyển vùng hoặc khác tra cứu mục đích đặc biệt để hỗ trợ TCP). Vì vậy, bạn đang xem xét giới hạn ở đâu đó khoảng 30 địa chỉ cho IPv4 (bản ghi A) và phần nào ít hơn cho IPv6 (AAAA) vì chúng lớn hơn. Độ dài của tên miền cắt vào đây và sẽ giới hạn số lượng hơn nữa.

Câu trả lời ngắn gọn: khoảng 25 bản ghi A phù hợp với gói UDP. Ngoài ra, DNS sẽ chuyển sang TCP và nó sẽ không nhanh như vậy. Bạn cũng sẽ gặp vấn đề với các máy khách không sử dụng trình phân giải DNS có khả năng chọn IP "gần nhất". Ngoài ra, với wifi và thiết bị di động, "gần nhất" thường không phải là máy chủ phù hợp.

Câu trả lời dài hơn:

Đừng làm vậy. Cách tốt hơn là thiết lập các bản ghi CNAME riêng cho từng người dùng trỏ đến máy chủ phù hợp. Giả sử bạn có hai máy chủ server-fvà server-rđược sử dụng cho IMAP. Định cấu hình ứng dụng khách IMAP của mỗi người với tên máy chủ là USERNAME.imap.example.com trong đó "USERNAME" được thay thế bằng tên người dùng email của họ. Bây giờ bạn có thể di chuyển mọi người giữa các máy chủ mà không phải cấu hình lại ứng dụng email của họ.

server-f.example.com. IN A 10.10.10.10 server-r.example.com. IN A 10.20.20.20 wilma.imap.example.com. IN CNAME server-f.example.com. fred.imap.example.com. IN CNAME server-f.example.com. betty.imap.example.com. IN CNAME server-r.example.com. barney.imap.example.com. IN CNAME server-r.example.com.

Tuy nhiên, nếu bạn làm điều này, tôi rất khuyến khích rằng bạn tự động tạo các bản ghi DNS từ cơ sở dữ liệu của người dùng. Bạn muốn đảm bảo rằng khi các tài khoản được tạo và xóa, các bản ghi DNS cũng được tạo và xóa. Nếu không, bạn sẽ kết thúc với một mớ hỗn độn và rất nhiều nhầm lẫn.

Tôi đã thấy điều này được thực hiện tại các công ty với hàng ngàn người dùng theo nghĩa đen và, vì mọi thứ được tự động hóa, thế giới rất tốt.

Như những người khác đã chỉ ra, đó là một ý tưởng khủng khiếp để sử dụng trong thế giới thực.

Trong thế giới thực, có các máy khách và bộ giải quyết không phù hợp gặp sự cố với các phản hồi không phù hợp trong một datagram UDP duy nhất và có các tường lửa sẽ thực thi các ý tưởng cụ thể nhưng không tuân thủ giao thức về giới hạn kích thước thông báo DNS.

Và ngay cả khi bạn có thể tin tưởng vào phản ứng to lớn của mình trong mọi trường hợp (mà bạn hoàn toàn không thể), có một lý do khác đây là Ý tưởng rất tồi. Kích thước phản hồi DNS của bạn càng lớn thì càng hấp dẫn vì nó là một trọng tải cho các cuộc tấn công phản chiếu vì bạn cung cấp một hệ số khuếch đại rất lớn. Trong kiểu tấn công từ chối dịch vụ này, thường gặp trong DNS, truy vấn UDP được gửi đến bộ giải quyết đệ quy mở. Địa chỉ nguồn của các truy vấn UDP thường dễ bị giả mạo và kẻ tấn công đặt nguồn truy vấn thành IP của mục tiêu dự định của chúng. Hai hiệu ứng mong muốn (đối với kẻ tấn công) đã đạt được: thứ nhất - một nỗ lực gửi tương đối nhỏ từ phía chúng (từ một truy vấn giả mạo nhỏ) dẫn đến một luồng tương đối lớn lưu lượng truy cập không mong muốn đến mục tiêu (đây là hệ số khuếch đại), và thứ hai - nguồn thực sự của cuộc tấn công được ẩn khỏi mục tiêu; mục tiêu chỉ biết địa chỉ của các bộ giải quyết đệ quy đang được sử dụng làm gương phản xạ.

Điểm thú vị của những câu đố lịch sử về chủ đề này. Vào những năm 90, AOL đã mở rộng các bản ghi DNS của họ sao cho một truy vấn MX sẽ trả về> 512 byte. Điều này đã vi phạm RFC, phá vỡ rất nhiều máy chủ SMTP (qmail là một máy chủ phổ biến tại thời điểm đó) và gây ra rất nhiều vấn đề đau đầu. Việc sửa chữa yêu cầu hoặc vá hoặc thêm các tuyến tĩnh.

Tôi không biết tình hình hiện tại là gì, nhưng vài năm trước, khi tôi chạm vào qmail lần cuối, các bản vá vẫn còn nguyên.

http://www.gossamer-threads.com/lists/qmail/users/30503