Hlavní navigace

CZ.NIC uvolnil kolektor DNS provozu

Sdílet

Petr Krčmář 27. 6. 2018
CZ.NIC logo

CZ.NIC vydal zdrojové kódy projektu dns-collector, což je vstupní část systému pro monitorování a analýzu provozu DNS serverů. Spolu s pokročilou analýzou shromážděných dat můžeme nejen sledovat provoz DNS a detekovat naléhavé problémy, ale také zjišťovat a zkoumat dlouhodobé trendy a problémy (například nesprávnou konfiguraci vnějších serverů), píše Tomáš Gavenčiakoznámení na blogu CZ.NIC. Systém byl prezentován na konferenci IT 15.2 (video a prezentace v češtině).

Z důvodu efektivity je kolektor napsán v C nad knihovnou libknot (součást serveru Knot DNS) a spolehlivě zvládne více než 100 000 dotazů za sekundu. Můžete jej spustit buď přímo na serveru DNS nebo na vyhrazeném serveru s port-mirroringem. Software je k dispozici pod GNU GPL 3 a najdete jej na GitHubu a jako hotové balíčky pro Ubuntu, Debian a další v OpenBuildService repozitáři.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 27. 6. 2018 22:39

    helb (neregistrovaný) 2001:1488:fffe:----:----:----:----:----

    Dobry den, diky za upozorneni, melo by to byt opravene.

    V Debianu bohuzel neni uplne nejcerstvejsi verze (lib)knot. Vyvojari Knota udrzuji vlastni repozitar na OBS, lze pouzit bud baliky z nej (pokud pouzivate Knota, asi uz jej mate pridany), nebo libknot z toho repa s dns-collectorem (o tu si to ted rekne bez dalsich zasahu):

    $ wget -qnv https://download.opensuse.org/repositories/home:CZ-NIC:adam/Debian_9.0/Release.key -O Release.key
    $ apt-key add - < Release.key
    OK
    $ echo 'deb http://download.opensuse.org/repositories/home:/CZ-NIC:/adam/Debian_9.0/ /' > /etc/apt/sources.list.d/home:CZ-NIC:adam.list
    $ apt-get update
    $ apt-get install dns-collector
    $ dns-collector --help
    A collector of DNS queries.
    Usage: main [options] [pcap-files...]
    
    When no pcap-files are given or with '-i', a live trace is run based on
    the config file. When pcap files are given, they are processed
    offline in the given order, ignoring any configured input uri.
    
    Options:
        --help                                                                                     Show this help
    -C, --config=<file>                                                                            Override the default configuration file
    -S, --set=<item>                                                                               Manual setting of a configuration item
        --dumpconfig                                                                               Dump program configuration
    -i, --interface=Runs a live capture on an interface, has the same semantics as 'input_uri'.
    -o, --output=Output filename pattern, has the same semantics as 'output_path_fmt'.

    U te libtrace je situace podobna, ale collector se spokoji i se starsi verzi (ta 3.x, aktualni je ctyrka). Upravil jsem zavislosti.

  • 28. 6. 2018 7:01

    deb (neregistrovaný) ---.cust.vodafone.cz

    Balíčky produktů z NICu v Debianu jsou po odchodu Ondry Surého obecně poněkud zanedbané. Přitom mít aktuální v backports není těžké. OBS je obezlička, která ale řeší jen amd64 architekturu. Ostatní mají (opět) smůlu.

  • 28. 6. 2018 10:13

    Dotaz (neregistrovaný) 2001:1488:fffe:----:----:----:----:----

    Jaké backports máte prosím na mysli? Já třeba vidím https://packages.debian.org/stable-backports/source/knot
    Které další architektury jsou pro vás zajímavé? Díky

  • 28. 6. 2018 21:01

    zzz (neregistrovaný) ---.cust.vodafone.cz

    Tož třeba datovka, bird... a drobnosti typu už asi pohřbený DNSsec validátor do Firefoxu. Z CZ.NICu zjevně odchází lidi a spousta projektů tam funguje jednomužně. Jako jasně, údržba existujících věcí se marketingově prodává hůř. Ale ten fokus CZ.NICu jen na nový věci za každou cenu je už až příliš okatý...

  • 29. 6. 2018 11:31

    Karel Slaný (neregistrovaný) 2001:1488:fffe:----:----:----:----:----

    Nezbývá mi než reagovat nejen na tento příspěvek - neberte to tedy osbně.

    ad Datovka - Přiznávám, že situace s balíkováním není momentálně optimální, ale také nikdy nebyla. Balíky Datovky pro Ubuntu byly na Launchpadu. Ale další distribuce se neřešily. Některé projekty těžily z toho, že jejich vývojáři byli zároveň i dlouhodobí správci balíků v některých distribucích. Za Datovku můžu argumentovat, že stát se balíčkovačem všech mainstreamových distribucí, abyste dostali software, který má víceméně význam pouze pro obyvatele ČR a proto běžně vypadává z hledáčku těchto distribucí, do jejich repozitářů, je nesnadný úkol. Ano, jak uvádíte, lidi odcházejí a přicházejí a s každým dalším člověkem další vývojář, který místo řešení problémů v aplikaci bude řešit problémy s balíkováním. V Datovce se teď snažíme pokrýt více distribucí, než bylo jen Ubuntu. Zároveň se pokoušíme neplýtvat časem a zdroji na to, abychom z vývojářů (kteří to již z nějakých důvodů nejsou) dělali registrované balíčkovače v distribucích. Tento problém chceme řešit, pokud to půjde, jednotně a pro co nevíce projektů.

    Pokud jste registrovaným správcem balíků v nějaké distribuci, tak nejlépe uděláte, když dáte vývojářům vědět, že chcete balíkovat nějaký software, budete reagovat na bugy spojené s těmito balíky, opravovat je, eventuálně posílat opravy vývojářům. To, že to pak někdo bude ještě dělat po Vás, ale zajistit asi nedokážeme.

    ad DNSSEC/TLSA Validátor - Vývoj prohlížečů směřuje k omezování API, zvyšování bezpečnosti a rychlosti. Samotné prohlížeče (navzdory malému množství uživatelů) stále nemají zájem o DNSSEC validaci. Nová API jsou nekompatibilní a momentálně neposkytují funkcionalitu, kterou vyžadujeme pro funkci Validátoru. To nás vedlo k zastavení vývoje. Zdrojové kódy jsou k dispozici, můžete experimentovat, možná se Vám podaří rozšíření zprovoznit. Pak můžete doufat, že třeba za rok nedojde opět k takovým změnám, které zase vše rozbijí.