Vlákno názorů k článku
Výpadek AWS byla chyba souběhu dvou procesů, které se starají o DNS od 0x00 - Vždycky je to DNS

Vždycky je to DNS

Do Not Serve ;-)

Tak DNS jsou složitá a nespolehlivá služba. Když jsme adminům v minulé práci jako vývojáři reklamovali hlášky typu "Name or service not known" tak nám bylo řečeno že DNS jsou nespolehlivý ;-)

On je v praxi docela problém s negative ttl, tedy že si resolver pamatuje, že nějaký záznam na serveru neexistuje. Problém je, když někdo okopíruje SOA záznam, kde je negative nastaveno třeba na měsíc a klienti se zeptají dřív, než tam ten nový záznam skutečně je. To potom to dns někde funguje a jinde ne podle toho, kdo se kdy zeptal.

Tak ono to pole historicky melo vicero vyznamu (zminuje treba RFC2308)... a lidi jsou radi otroky minulosti, kdy casto SOA proste tupe kopiruji a vlastne nad temi cisly moc nedumaji :-) Takovy zonemaster ma na to i test, ktery hlida rozpeti od 300 do 86400 sekund a cokoliv mimo tento interval failne. Mimo to, resolver se tim ridit ani nemusi - realne to pole rika, jak dlouho muzu tu negativni odpoved drzet, ale je to optional. A treba v Bindu se to ridi pomoci max-ncache-ttl - kdy vychozi hodnota je 3 hodiny a vic nez tyden to ani nezkousne, v Unboundu je to podobne cache-max-negative-ttl, kde default je hodina. Aneb panem sani je ve finale tady spravce resolveru a ne spravce zony... :-)

Akorát, že tady to DNS vlastně vůbec nebylo. Resp. je to stejné jako byste napsal: Vždycky je to IP nebo vždycky je to Ethernet. Protože DNS bylo v tomto případě jenom posel špatných zpráv...