Náročnost validování DNSSEC

Mikes

Náročnost validování DNSSEC
« kdy: 09. 02. 2012, 15:17:58 »
Zdravím,
mám v plánu zavádět DNSSEC validující resolver v Bindu z pohledu ISP. Máte někdo zkušenosti jak se zvýší zátěž serveru? Řekněme třeba pro 100, 1000 a 2000 klasických klientů, kteří DNSSEC server využívají pro běžné surfování(nejvyšší zátěž samozřejmě v denních hodinách). Jde mi alespoň o orientační zátěž, jestli je kvůli tomu třeba nové železo nebo to zvládne staré. Díky.


Honza

Re:Náročnost validování DNSSEC
« Odpověď #1 kdy: 09. 02. 2012, 16:05:48 »
Ahoj.

Používáme dva DNS servery pro síť s cca 1000 uživateli. Zhoršení zátěže po zapnutí DNSSEC jsem nezpozoroval. Oba servery jsou quad core s 4GB ram.  Servery navíc obhospodařují více služeb než jen DNS.

H.

Mikes

Re:Náročnost validování DNSSEC
« Odpověď #2 kdy: 09. 02. 2012, 16:26:49 »
To se mi skore nechce verit, ze rezie je zanedbatelna, vezmu-li v uvahu, ze je to prace s asymetrickou kryptografii. Odpovedi se sice nemusi validovat pri kazdem dotazu, maji urcity TTL, ale i tak se to musi alespon minimalne projevit. Pokud, je ale opravdu zvyseni zateze zanedbatelne, tak jedinny duvod, ktery me napada, proc ISPcka nezavadeji validovani je lenost... protoze zapnuti validovani v bindu je trivialni zalezitost.

Je to skoda, kdyz je nase zemicka v DNSSEC, takhle popredu, a ISPcka na to kaslou.

Honza

Re:Náročnost validování DNSSEC
« Odpověď #3 kdy: 09. 02. 2012, 22:35:39 »
To zase nemůžu soudit. Ono třeba takové O2 má asi řádově více klientů, který používají jejich DNS. Ale jestli se nepletu, tak zrovna nedávno O2 i Vodafone začali DNSSEC ověřovat.

Drasar

Re:Náročnost validování DNSSEC
« Odpověď #4 kdy: 10. 02. 2012, 09:20:24 »
Pokud, je ale opravdu zvyseni zateze zanedbatelne, tak jedinny duvod, ktery me napada, proc ISPcka nezavadeji validovani je lenost... protoze zapnuti validovani v bindu je trivialni zalezitost.

Podle me se jim do zapnuti nechce proto, ze jim to prinasi vic "problemu" nez uzitku. Tim mam na mysli napr. situaci, kdy Franta se nemuze dostat na www.porno.cz (z duvodu expirace podpisu zaznamu) a jelikoz Pepovi pripojenemu pres ISP bez validace to funguje, tak Franta "logicky" zacne bombardovat sveho ISP, ze se na dany web nemuze dostat. Jiste ze v tompto pripade je chyba u vlastnika domeny porno.cz, ktery si nepohlidal dobu platnosti zaznamu, jenze Franta o DNSSECu vi kulovy a ISP je prvni na rane.

No a co se tyce naroku na validaci, tak Unbound zvladal pri vhodnem nastaveni validovat radove tisice (nebo dokonce desetitisice?) dotazu za sekundu na 3GHz Dual Coru se 4 GB RAM.


Michal

Re:Náročnost validování DNSSEC
« Odpověď #5 kdy: 10. 02. 2012, 09:54:22 »
Nedavno jsme nasadili DNSSEC na nase 3 DNS cache servery pro cca 3k uszivatelu.
Zadny narust zatizeni nesledujeme.
Treba je to tim, ze vetsina domen DNSSEC zatim nema.
Mozna se to zatizeni projevi, az vetsina domen bude DNSSEC pouzivat