DNS szerver, de melyik?

 ( Szappan | 2014. február 1., szombat - 14:25 )

Olyan kérdéssel fordulok felétek, hogy ki, melyik DNS szervert használja és miért? Éppen váltani készülök, de nem tudok dönteni. Nincsenek valós statisztikák a sebességről, elérhetőségről csak 1-1 kósza cikk, itt-ott és a marketing.

- Előny ha az EU-ban van a szerver, de nem létszükség.

Amikről tudomásom van:
Level3
Google
Securly
Comodo Secure DNS
OpenDNS Home
DNS Advantage
Norton ConnectSafe
GreenTeamDNS
SafeDNS
OpenNIC
Public-Root
SmartDNS
SmartViper
Dyn

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

$ cat /etc/resolv.conf
nameserver 127.0.0.1
;)

127.0.0.1 sweet 127.0.0.1! :D

Oykawa

+1
A UPC szarvereitől lerobbant a burám már párszor.

--
Fontos! Ha berágok, nem feltétlen személyed ellen szól...
openSUSE 13.1 x86_64

A szolgáltatód DNS szerverét illik használni, annak kell működnie. A többi csak bónusz.
Sebességbeli különbség DNS szerver esetén nem okozhat nagy gondokat.

Miert "illik"?

/sza2

Mert a szolgáltatódat fizeted ezért. Illetve azért is, mert a publikus szerver futtatást nemigen ajánlják a mai világban.

A szolgáltatónak az internet elérésért fizetsz nem ezért, meg egyes szolgáltatók szerverei hagynak némi kívánni valót maguk után.

Én elődlegesnek open dns-t használok, másodlagosnak megy egy googlist.

Igenis ezért is fizeted. DNS nélkül nincs Internet, rekurzív DNS szervert a szolgáltatónak kell nyújtani. Bárki másnak nem ajánlott mert már ezen keresztül is DDoS-oznak.

Míg az opendns-t és a google-t talán el lehet nézni, más szolgáltatót én nem használnék. Ezek is második opciók.

Fizetek erte vagy sem: pocsek a minosege a szolgaltatoi DNS szervereknek. Raadasul a szolgaltatok eleg onkenyesen szoktak ertelmezni a TTL mibenletet, nehany konkretan ignoralja, es sajat TTL van a DNS szerverukon. Sysadminkent ez engem rettenetes modon szokott zavarni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Kinel lattal ilyet?
--
zsebHUP-ot használok!

Nekem is van hasonló tapasztalatom, de inkább a kis TTL-eket ignorálják. Ahol 5 perces TTL-t vettünk fel és váltottuk az IP-t, ott még 1-1,5 nappal később is estek be a korábbi címre kérések. Ebben nyilván bugyuta routerek is benne vannak, mert olyannal is találkoztunk.

Biztos mindenáron sebességbajnokok akartak lenni. :)

T-tipikus bizonyos szolgaltatoknal...

De nekem is rengeteg hasonlo sztorim van. Nalam megrogzott szokassa valt ugyfeltajekoztatasnal, hogy egy DNS rekord frissites melle az megy ki, h max 24 ora, addig az atallitasra csak olyan hibat veszunk fel, hogy rossz cimre valtozott (ami nem a mostani es nem is az, amire kertek).
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Telenor?
Nekem is rengeteg hasonló sztorim van, de a legtöbb úgy végződik, hogy az emberek elfelejtik, hogy a TTL nem csak arra a rekordra vonatkozik, amire ők éppen szeretnék, és ha több minden változik, a 24 óra sem feltétlenül igaz.

Altalaban azert 24-48 ora alatt meg szokott lenni mindenfele valtozas.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

És ha fiztem, mert benne van a boundle-ba, akkor miért lesz hirtelen kötelező használnom?

Az írta hogy illik. Ami igaz is mondjuk otthonra, én se vergődtem vele addig, amíg a nagyszerű UPC meg nem győzött arról, hogy nekem az nem jó. A gyárban saját szerver fut, mert amúgy is vannak saját zónák marokszám, akkor meg már miért ne.

Szerintem nem "illik". Ha megfelel használod, ha meg valami miatt neked ez nem kell (nem megbízható pl, vagy hülyén cachel, esetleg nem akarod, hogy az összes általad látogatott hostnevet el tudja loggolni a szolgáltató, vagy szeretnél alternatív TLDket használni, akkor meg nem használod. Szerintem itt semmiféle illik nincs. Emailt is adnak, akkor illene azt használni?

Az hülyeség, hogy azért nem használod a szolgáltatód DNS-ét, mert az összes általad látogatott hostot logolni tudja.
Azt mindenképpen tudja, ha akarja, mivel az ő infrastruktúráját használod, az ő routerein, egyéb eszközein megy át a forgalmad.
Arról nem beszélve, hogy ha én le tudom tiltani a saját routeremen, hogy a LAN-ról bárki külső DNS-t használjon, akkor szerinted mibe kerül ugyanez a szolgáltatódnak? (nem hinném, hogy megteszik, de ez más téma)

Van némi különbség aközött, hogy látja az IP trafficomat, amiből a PTRt később visszakeresheti, az meg valamit mond, de nem feltétlen azt, amit én kértem, vagy extra effortal proxyzik, vagy valami deep packet analízist csinál egyébként is, és aközött, hogy a bind logjában ott figyel egy helyen az összes, ready for taking.

Szerintem sincs ennek értelme, de simán el tudom fogadni, ha valakinek ez a fejlövése (pláne azzal szemben, hogy a szolgáltató dnsét illik használni).

Miért is figyelne a bind logjában a te kérésed? Gondolod, hogy a szolgáltatódnak egyéb dolga sincs? Ellenben a google simán profile-olhat a DNS használatod alapján. Akkor most mi a jobb? Saját DNS szerverrel meg majd a root szerverek bind logjában szerepel a kérésed. Ha valakit érdekelne ez. Mert szerintem simán csak paranoia.

Azt meg tudom érteni ha technikai igényből kiindulva saját DNS-t futtat valaki. Akkor talán ért is hozzá. De ne buzdítsunk már minden vérpistikét arra, hogy saját szervert húzzon fel.

Ez szerintem viszonylag egyszeru. A szolgaltato akkor logol, illetve hasznal fel valamit, ha arra torvenyileg kotelezik, neki, vagy az ugyfelenek velt, vagy valos haszna van belole.
Egyebkent csak penzkidobas, amit nem szoktak szeretni.
Az isp altalaban nem kereso, reklam, illetve tartalomszolgaltato, igy a sajat erdek altalaban kiesik.
--
zsebHUP-ot használok!

Srácok, ne akarjatok már ennyire meggyőzni arról, hogy az egyik légből kapott lehetséges példám hülyeség. Idézném: "Szerintem sincs ennek értelme, de simán el tudom fogadni, ha valakinek ez a fejlövése". Igen, szerintem is az. És nem buzdítottam senkit, egyszerűen csak szerintem nincs olyan, hogy "illik" használni. Egyébként meg tőlem aztán a vérpistike nyugodtan szopathatja magát otthon dns bizgerálással, kit zavar? Mellesleg dnsmasqal szerintem a szükséges technikai hozzáértés nem tudom, három config paraméter beállítása lehet kb.

(Egyébként meg láttam mér pár nagy céget, simán el tudom képzelni, hogy logolja a bind a kéréseket, vagy azért, mert kell valamire, vagy azért, mert lusta pöcs az admin.)

Vérpistike is saját DNS-t használ ha eljutott a tomato/openwrt/ddwrt/oleg stb. valamelyikéhez.
Igaz, alapjáraton csak caching dns van bennük. :)

"Gondolod, hogy a szolgáltatódnak egyéb dolga sincs? Ellenben a google simán profile-olhat a DNS használatod alapján."

Mert a szolgáltatóm számára nem ugyanúgy eladható adat az én statisztikám, mint amennyire a google számára eladható/hasznosítható?

Igen, kb. így értettem, hogy ha megfelel, akkor használd azt, és ne azért használj mást, hogy csakazértis. A hostnév logolása meg olyan, hogy ha nem akarod, akkor marha egyszerűen meg lehet oldani vpn-nel. Aki meg alternatív TLD-t akar, az meg is érdemli (nekem amúgy van itthon :D).

Azért ahhoz, hogy legyen egy vpned [pláne, amit nem logol ugyanúgy egy random másik szolgáltató] messze nem trivi, mint a saját dns.

En elsodlegeskent egy Googlesat hasznalok, masodlagosnak meg az egyik ex-melohelyem caching DNS szerveret, mert az tudom, hogy .hu -ban mukodik.

En egyebkent az OpenDNS-t nem szeretem, mert nem letezo nevekre fals pozitiv valaszt ad, ami szerintem bad practice, raadasul a routernek nem tudom megmondani, hogy ha ezt az IP-t kapja valaszul, azt ne pozitiv, hanem negativ valasznak ertelmezze, es a megfelelo cache TTL vonatkozzon ra.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

csaki UPC!!!44444444

t

Google dns-ét szoktam beállítani.

OpenNIC-et nezegettem egy darabig, de annyira bizonytalanka, hogy visszatertem a kuglihoz. A t-online sajatja lassu.
--
zsebHUP-ot használok!

Ezt a lassúságot kifejtenéd? Érdekelne.
Cache-elt magyar:

$ for i in `jot 100`; do dig www.elte.hu @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            15            48            17         18.05     3.5544111
$ for i in `jot 100`; do dig www.elte.hu @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100             1             8             1          1.24    0.92244734

Nem cache-elt magyar:

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.hu @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            27          1273            34         47.43     123.97737
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.hu @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100             3           105             6         19.87     21.035638

Nem cache-elt "távoliak" (talán a guglinak és nekünk is az):

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.ru @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            96           356           146         165.8     63.963215
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.ru @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            16           204            92         85.38     34.917733

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.cn @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -Ax <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            56           853           189        229.41      172.5302
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.cn @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            41           741            45        102.45     108.09577

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.mx @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            18          1232            22         74.35     236.43097
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.mx @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            21           190            36         54.46     47.253757

Egyedül ezt találtam jobbnak, de ez lehet valamilyen hálózati közelség eredménye is, amin nehezebb javítani:

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.com @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            19           182            23         29.75     26.262996
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.com @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            18           255            37         56.05     44.479793

--
zsebHUP-ot használok!

névfeloldáskor érezhetően lassabban reagál, mint mondjuk a kuglié. Mérni nem mértem, érzetre mondom.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

ha nem paketolnak szet allandoan verpistikek akkor jo lenne. sajnos irtozatos crawler meg paketvihart kapnak es mivel a legtobben hobbibol futtatjuk egy vps-en (vagy otthon a pincebe - szerencsere ez csak US jellemzo) igy valoban ingatag emiatt a performance.

Én ahol csak lehet, az OpenDNS-t preferálom. Több szempontból is jónak tartom:
- gyors
- megbízható, stabil
- biztonságos

Alapból leszűri a netedhez érkező Malware/Botnet/Phishing forgalmat, ezen kívül be tudsz állítani több más kategóriát is. Mivel DNS szinten szűr, nagyon hatékony, a cégnél is ezt használjuk, a Barracuda SPAM szűrőnkbe is ez van megadva és jelentősen csökkent a SPAM forgalom. :)

Másodlagos alternatívaként a Google DNS-ét ajánlom.

Az OpenDNS-nel be lehet kapcsolni, hogy a nem letezo domainekre NXDOMAIN-t kapjak? Mert ez iszonyuan irritalt benne, a tobbi jol hangzik (malware filtering).
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Erre gondoltál?

http://kepkezelo.com/viewer.php?file=96c9d5j7r0fxjwa4y5.jpg

Sokan csak fogjak es beallitjak az IP cimeket es kesz. Be kell regelni az oldalra, hogy dashboardbol tudd managelni a beallitasaidat! :)

Hmmm... jol hangzik. Es ezek a beallitasok ugye akkor is elnek, ha amugy dinamikus IP-rol lepegetek be? Tehat, nem IP-hez kotott?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

subscribe, köszi.

Kugli +1 , opendns ment egy ideig, fizetős változat, azóta úgy megváltozott minden náluk hogy azt sem vették észre hogy még előfizető vagyok, így vonták a dodót rendesen persze műszerfalról is eltűnt a fizetési lista stb...
Ennek ellenére sztem megbízható az open.

épp kezdtem volna kifejteni a tapasztalataimat a bind9-rõl és a dnsmasq-ról, de úgy látom, nem ez a téma :)

~~~~~~~~
Linux 3.2.0-4-486
Debian 7.1

Engem viszont erdekel, foleg a dnsmasq. Ha ide nem akarod, blogolj rola.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Miért?
Elég feltenni egy bind-et, bekonfigurálni a root kiszolgálókat, aztán "örülünk vincent" nem kell használni senki névszerverét ehhez :)
--
PtY - www.onlinedemo.hu

En meg sose konfiguraltam root kiszolgalokat a bind-ben, azokat magatol tudta mindig.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Szerintem disztófüggő. Ubuntu alatt pl. nekem se volt bajom evvel, más disztró esetén (igaz, sok évvel ezelőtt) nem ment ez magától.
--
PtY - www.onlinedemo.hu

Idézet:
bekonfigurálni a root kiszolgálókat, [...] nem kell használni senki névszerverét

sõt ellenkezõleg! ebben az esetben "mindenki" névszerverét fogja használni (rekurzív névfeloldás).
fogalmazzunk úgy, "senki resolverét nem kell használni"

~~~~~~~~
Linux 3.2.0-4-486
Debian 7.1

Én meg majd a revolveremet használom :)
--
PtY - www.onlinedemo.hu

IPredator DNS-ek: 194.132.32.32 46.246.46.246

Mostanaban ezt hasznalom tesztelesre, eddig gyors es megbizhato.

--
http://blog.htmm.hu/