Hlavní navigace

Jak se projevilo snížení TTL v zóně .cz

Václav Steiner

V druhé polovině února jsme snížili TTL v zóně .cz, a to o jednu hodinu. Poté jsme vždy každou středu provedli snížení o další hodinu, až jsme 15. března 2017 dosáhli na požadovanou hodnotu 1 hodiny (tedy TTL=3600).

Snižování TTL jsme provedli konkrétně v těchto časech:

datum čas
22.02. 2017 14:50
01.03. 2017 15:25
08.03. 2017 15:50
15.03. 2017 15:25

Hodnotu TTL jsme z opatrnosti snižovali po týdnech, neboť velká změna o 4 hodiny by totiž mohla znamenat znatelnější nárůst dotazů v okamžiku, kdy expirují záznamy z cache rekurzivních DNS resolverů. Postupné snižování nám také umožnilo průběžné monitorovat, jak se změna projeví v provozu a případně přizpůsobit další kroky zjištěným dopadům. Veškerá data o DNS provozu dlouhodobě sbíráme do vlastního systému, ze kterého, kromě sumárních statistik, dokážeme získávat data až na úrovni jednotlivého DNS požadavku.

Zajímavosti z provozu

Všechny anycast DNS servery, jak v České republice, tak v zahraničních lokalitách, odbaví za den průměrně (vztaženo k březnu 2017) okolo jedné miliardy požadavků.

Největším odběratelem DNS provozu .cz zóny je operátor O2 (průměrně 150 000 000 požadavků/den) a společnost Google (130 000 000 požadavků/den). Na dalších místech jsou v tomto pomyslném žebříčku Seznam.cz a její e-mailové služby (53 000 000 požadavků/den) a Microsoft (30 000 000 požadavků/den). Následují větší poskytovatelé připojení, hostingové společnosti a mobilní operátoři.

Nejvíce DNS provozu odbaví lokality v České republice – 36 %, následované lokalitami ve Velké Británii – 19 %, USA – 14 %, Rakousku – 12 %, Německu – 10 % a zbytku světa (Chile, Švédsku, Japonsku) – 9 %.

Pojďme se podívat na DNS provoz trochu blíže. DNS provozem rozumíme přijaté dotazy od DNS serverů na dotazované jméno (tzv. QNAME) společně s typem dotazu (tzv. QTYPE) a na ně navazující odpovědi s návratovým kódem.

Nejčastěji vyskytující se typy dotazů, zjištěné z našich statistik měsíce března 2017, ukazuje následující graf. Pro zopakování:

  • A – Address Record (obsahuje IPv4 adresu přiřazenou danému jménu)
  • AAAA – IPv6 Address Record (obsahuje IPv6 adresu přiřazenou danému jménu)
  • DS – Delegation Signer (obsahuje hash veřejného klíče pro DNSSEC)
  • MX – Mail Exchange Record (obsahuje adresu a prioritu pro příjem elektronické pošty)
  • NS – Name Server Record (obsahuje adresu autoritativního DNS serveru pro dané jméno),
  • TXT – Text Record (obsahuje libovolný textový řetězec)
  • SRV – Service Record (obsahuje odkaz na jinou adresu a port)
  • CNAME – Canonical Name Record (obsahuje alias k danému jménu)

Nejčastější návratové kódy v odpovědích jsou:

  • 0 – NOERROR (dotaz úspěšně vyřízen)
  • 1 – FORMERR (chyba ve formátu dotazu)
  • 2 – SERVFAIL (dotaz není možné vyřídit, chyba)
  • 3 – NXDOMAIN (dotazované jméno neexistuje)
  • 4 – NOTIMP (nepodporovaný typ dotazu)
  • 5 – REFUSED (DNS server odmítl odpovědět na dotaz)
  • 9 – NOTZONE (dotazované jméno se nenachází v zóně)

Každý den registrujeme, přibližně v čase 14:50 – 17:00, výrazné zahuštění DNS dotazů vracející odpověď 3 – NXDOMAIN.

O jaká neexistující doménová jména a typy záznamů se jedná? Nejčastěji jde o domény, které již byly vyřazeny z registru a smazány z DNS serverů a rekurzivní DNS servery se na ně stále dotazují. Některé jsou ovšem s největší pravděpodobností vymyšlené nebo se dotazují přímo na autoritativní DNS servery CZ.NIC namísto delegovaných NS serverů.

Dopad snížení TTL na provoz DNS serverů

Největším dopadem snížení TTL byl skokový nárůst všech DNS dotazů, které expirovaly z cache DNS resolverů.

Při srovnání veškerého DNS provozu byly počty dotazů za sekundu ve špičkách jednotlivých dnů, po snížení TTL, v průměru o 50 % vyšší. Toto navýšení opět po několika minutách pominulo, jak je patrno z níže uvedených grafů.

Dále jsme pozorovali zvýšený počet NXDOMAIN odpovědí, tedy odpovědí DNS dotazů na neexistující nebo již expirované záznamy. Ty mohly být způsobené také dotazujícími DNS resolvery bez použití cache.

Níže uvedený graf ukazuje skokový nárůst NXDOMAIN, trvající vždy 15 minut dle nastaveného NXDOMAIN TTL.

Z dlouhodobého pohledu však změna TTL na DNS provoz neměla žádný významnější vliv. Krátkodobé zvýšení počtu DNS dotazů na serverech proběhlo podle našich očekávání, nebylo nijak zásadní nebo nestandardní.

Snížením TTL jsme docílili rychlejších změn delegací v registru, které se v kratší době projeví na autoritativních DNS serverech, ale i na DNS resolverech. Aktuálně nastavenou hodnotu TTL v zóně .cz je možné ověřit příkazem:

$ dig +multiline soa cz

Případně je možné použít některý z webových nástrojů, například WebDNSToolsPro srovnání – TTL národních domén okolních států se pohybují od jedné hodiny až po dva dny.

země (TLD) TTL
Nizozemsko (.nl) 1 hodina
Maďarsko (.hu) 1 hodina
Německo (.de) 1 den
Slovensko (.sk) 1 den
Polsko (.pl) 1 den
Rakousko (.at) 2 dny
Francie (.fr) 2 dny
Velká Británie (.uk) 2 dny

Zajímavostí je, že generické domény .com, .net, .biz a .org mají TTL nastaveno dokonce na 15 minut. Podobným způsobem je možné zjistit hodnotu TTL často navštěvovaných domén druhých a nižších úrovní.

(Původně vyšlo na blogu CZ.NIC.)

Našli jste v článku chybu?
19. 5. 2017 9:46

Nedávno proběhl další pravidelný průzkum veřejného mínění a uživatelé si diakritiku (IDN) v doméně .CZ nepřejí. Takže realita je přesně opačná: CZ.NIC se řídí tím, co mu přikáží jeho členové a ti se v tomto případě řídí také průzkumem veřejného mínění.

19. 5. 2017 9:33

Hlavně že sám píšete bez diakritiky :-) Háčky a čárky jsou jen komplikace, viz např. https://www.zive.cz/bleskovky/neni-applecom-jako-applecom-specialista-ukazal-jakou-hruzu-muze-zpusobit-idn-phishing/sc-4-a-187218/default.aspx