Re: lug-bg: интеграция на DNS server и DB server
- Subject: Re: lug-bg: интеграция на DNS server и DB server
- From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
- Date: Mon, 28 Jun 2004 22:43:45 +0300
Dimitar Katerinski wrote:
Po tochno koi RFC dokumenti? I koi imal po-osobena gledna tochka? DJB
li? ;-)
Az lichno sym protiw Name server s sql backend, taka stawash zawisim i ot
backend-a.
DImitar
P.S. Ne na 6lokawizata!
Ами няма никакъв проблем да заформим един як флейм;)
1) проблеми при компилирането с по-нови версии на libc. Дали го оправиха
не знам. Същия проблем го имаше в qmail.
2) По едно време скандално списъка с NS хостове за "." беше неверен и
несинхронизиран с промените направени от ICANN (да ме извинявате, ама
дори Microsoft DNS сървъра имаше кръпка за проблема) (това е също RFC
противоречие)
Други проблеми (някой от тях доста скандални):
- dnscache - никакъв кеш на CNAME ресурсни записи (шок и ужас). Това
може да вдигне DNS трафика до 5% (имало пач). Дори да се включи насила
има репорти за crash. Тук има проблеми с обработката на "lame"
делегиранията. (RFC противоречие)
- dnscache - не прилага "forward only" - създава възможността външни
потребители да правят "proxy loop" като "публикуват" върху сървъра за
имена данни за делегации (уж има пач, ама колко процента от
потребителите са го приложили?). Искате пример:) Скандалът около домейна
aereolineas.com.ar (потърсете в Google). Ето ви poisonous cache:
aereolineas.com.ar. IN NS ns1.aereolineas.com.ar.
aereolineas.com.ar. IN NS ns2.aereolineas.com.ar.
ns1.aereolineas.com.ar. IN A 127.0.0.1
ns2.aereolineas.com.ar. IN A 127.0.0.2
Много е мило нали:))))) Проблема съм го виждал върху 2 сървъра в
българското интернет пространство. За единият предупредих администрара
му. Минаха 7 месеца:) още е така.
Друг доста сериозен проблем:
Библиотеката за dns клиентските програми прави нещо доста гадно. Опитайте:
$ dnsq a cr.yp.to a.ns.yp.to
Ако името на хоста е свързано към няколко IP адреса, ще има отделно
запитване към всеки IP адрес, което е безмислено. Тук има третиране на
"full stop character" като сепаратор за адреси в ${DNSCACHEIP}. Имало
пач. Аз лично знам 4 DNS сървъра в България, който не са приложили този
пач:) Колегиално ли е да кажа кои са те? Този бъг може да се използва
(при определени ситуации) за спуфинг.
Малко обяснение. DNS клиентската библиотека има злощастието да разделя
задаваните "proxy DNS" сървъри чрез "full stop character", т.е. ".".
Представете си какво става като зададете вместо име на хост октетен
запис за IP адрес.
Гордо да кажем, че Djb направи нещо характерно за себе си - отрече доста
от проблемите, та се наложи някой друг да пише пачове.
Скромността краси човека.
Весо
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|