DNS szerver, de melyik?

Hálózatok egyéb

Olyan kérdéssel fordulok felétek, hogy ki, melyik DNS szervert használja és miért? Éppen váltani készülök, de nem tudok dönteni. Nincsenek valós statisztikák a sebességről, elérhetőségről csak 1-1 kósza cikk, itt-ott és a marketing.

- Előny ha az EU-ban van a szerver, de nem létszükség.

Amikről tudomásom van:
Level3
Google
Securly
Comodo Secure DNS
OpenDNS Home
DNS Advantage
Norton ConnectSafe
GreenTeamDNS
SafeDNS
OpenNIC
Public-Root
SmartDNS
SmartViper
Dyn

  • 14304 megtekintés

( arwin v | 2014. 02. 01., szo – 13:26 )

$ cat /etc/resolv.conf
nameserver 127.0.0.1
;)

( elod v | 2014. 02. 01., szo – 15:12 )

A szolgáltatód DNS szerverét illik használni, annak kell működnie. A többi csak bónusz.
Sebességbeli különbség DNS szerver esetén nem okozhat nagy gondokat.

Igenis ezért is fizeted. DNS nélkül nincs Internet, rekurzív DNS szervert a szolgáltatónak kell nyújtani. Bárki másnak nem ajánlott mert már ezen keresztül is DDoS-oznak.

Míg az opendns-t és a google-t talán el lehet nézni, más szolgáltatót én nem használnék. Ezek is második opciók.

Fizetek erte vagy sem: pocsek a minosege a szolgaltatoi DNS szervereknek. Raadasul a szolgaltatok eleg onkenyesen szoktak ertelmezni a TTL mibenletet, nehany konkretan ignoralja, es sajat TTL van a DNS szerverukon. Sysadminkent ez engem rettenetes modon szokott zavarni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Nekem is van hasonló tapasztalatom, de inkább a kis TTL-eket ignorálják. Ahol 5 perces TTL-t vettünk fel és váltottuk az IP-t, ott még 1-1,5 nappal később is estek be a korábbi címre kérések. Ebben nyilván bugyuta routerek is benne vannak, mert olyannal is találkoztunk.

T-tipikus bizonyos szolgaltatoknal...

De nekem is rengeteg hasonlo sztorim van. Nalam megrogzott szokassa valt ugyfeltajekoztatasnal, hogy egy DNS rekord frissites melle az megy ki, h max 24 ora, addig az atallitasra csak olyan hibat veszunk fel, hogy rossz cimre valtozott (ami nem a mostani es nem is az, amire kertek).
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Szerintem nem "illik". Ha megfelel használod, ha meg valami miatt neked ez nem kell (nem megbízható pl, vagy hülyén cachel, esetleg nem akarod, hogy az összes általad látogatott hostnevet el tudja loggolni a szolgáltató, vagy szeretnél alternatív TLDket használni, akkor meg nem használod. Szerintem itt semmiféle illik nincs. Emailt is adnak, akkor illene azt használni?

Az hülyeség, hogy azért nem használod a szolgáltatód DNS-ét, mert az összes általad látogatott hostot logolni tudja.
Azt mindenképpen tudja, ha akarja, mivel az ő infrastruktúráját használod, az ő routerein, egyéb eszközein megy át a forgalmad.
Arról nem beszélve, hogy ha én le tudom tiltani a saját routeremen, hogy a LAN-ról bárki külső DNS-t használjon, akkor szerinted mibe kerül ugyanez a szolgáltatódnak? (nem hinném, hogy megteszik, de ez más téma)

Van némi különbség aközött, hogy látja az IP trafficomat, amiből a PTRt később visszakeresheti, az meg valamit mond, de nem feltétlen azt, amit én kértem, vagy extra effortal proxyzik, vagy valami deep packet analízist csinál egyébként is, és aközött, hogy a bind logjában ott figyel egy helyen az összes, ready for taking.

Szerintem sincs ennek értelme, de simán el tudom fogadni, ha valakinek ez a fejlövése (pláne azzal szemben, hogy a szolgáltató dnsét illik használni).

Miért is figyelne a bind logjában a te kérésed? Gondolod, hogy a szolgáltatódnak egyéb dolga sincs? Ellenben a google simán profile-olhat a DNS használatod alapján. Akkor most mi a jobb? Saját DNS szerverrel meg majd a root szerverek bind logjában szerepel a kérésed. Ha valakit érdekelne ez. Mert szerintem simán csak paranoia.

Azt meg tudom érteni ha technikai igényből kiindulva saját DNS-t futtat valaki. Akkor talán ért is hozzá. De ne buzdítsunk már minden vérpistikét arra, hogy saját szervert húzzon fel.

Ez szerintem viszonylag egyszeru. A szolgaltato akkor logol, illetve hasznal fel valamit, ha arra torvenyileg kotelezik, neki, vagy az ugyfelenek velt, vagy valos haszna van belole.
Egyebkent csak penzkidobas, amit nem szoktak szeretni.
Az isp altalaban nem kereso, reklam, illetve tartalomszolgaltato, igy a sajat erdek altalaban kiesik.
--
zsebHUP-ot használok!

Srácok, ne akarjatok már ennyire meggyőzni arról, hogy az egyik légből kapott lehetséges példám hülyeség. Idézném: "Szerintem sincs ennek értelme, de simán el tudom fogadni, ha valakinek ez a fejlövése". Igen, szerintem is az. És nem buzdítottam senkit, egyszerűen csak szerintem nincs olyan, hogy "illik" használni. Egyébként meg tőlem aztán a vérpistike nyugodtan szopathatja magát otthon dns bizgerálással, kit zavar? Mellesleg dnsmasqal szerintem a szükséges technikai hozzáértés nem tudom, három config paraméter beállítása lehet kb.

(Egyébként meg láttam mér pár nagy céget, simán el tudom képzelni, hogy logolja a bind a kéréseket, vagy azért, mert kell valamire, vagy azért, mert lusta pöcs az admin.)

"Gondolod, hogy a szolgáltatódnak egyéb dolga sincs? Ellenben a google simán profile-olhat a DNS használatod alapján."

Mert a szolgáltatóm számára nem ugyanúgy eladható adat az én statisztikám, mint amennyire a google számára eladható/hasznosítható?

Igen, kb. így értettem, hogy ha megfelel, akkor használd azt, és ne azért használj mást, hogy csakazértis. A hostnév logolása meg olyan, hogy ha nem akarod, akkor marha egyszerűen meg lehet oldani vpn-nel. Aki meg alternatív TLD-t akar, az meg is érdemli (nekem amúgy van itthon :D).

( hrgy84 | 2014. 02. 01., szo – 22:34 )

En elsodlegeskent egy Googlesat hasznalok, masodlagosnak meg az egyik ex-melohelyem caching DNS szerveret, mert az tudom, hogy .hu -ban mukodik.

En egyebkent az OpenDNS-t nem szeretem, mert nem letezo nevekre fals pozitiv valaszt ad, ami szerintem bad practice, raadasul a routernek nem tudom megmondani, hogy ha ezt az IP-t kapja valaszul, azt ne pozitiv, hanem negativ valasznak ertelmezze, es a megfelelo cache TTL vonatkozzon ra.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( ncc1701 | 2014. 02. 02., v – 12:18 )

Google dns-ét szoktam beállítani.

Ezt a lassúságot kifejtenéd? Érdekelne.
Cache-elt magyar: 


$ for i in `jot 100`; do dig www.elte.hu @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            15            48            17         18.05     3.5544111
$ for i in `jot 100`; do dig www.elte.hu @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100             1             8             1          1.24    0.92244734

Nem cache-elt magyar: 


$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.hu @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            27          1273            34         47.43     123.97737
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.hu @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100             3           105             6         19.87     21.035638

Nem cache-elt "távoliak" (talán a guglinak és nekünk is az): 


$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.ru @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            96           356           146         165.8     63.963215
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.ru @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            16           204            92         85.38     34.917733

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.cn @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -Ax <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            56           853           189        229.41      172.5302
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.cn @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            41           741            45        102.45     108.09577

$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.mx @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            18          1232            22         74.35     236.43097
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.mx @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            21           190            36         54.46     47.253757

Egyedül ezt találtam jobbnak, de ez lehet valamilyen hálózati közelség eredménye is, amin nehezebb javítani: 


$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.com @8.8.8.8 | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            19           182            23         29.75     26.262996
$ for i in `jot 100`; do dig `echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM | sha1`.com @cns0.telekom.hu | grep Query | awk '{print $4}'; done | ministat -A
x <stdin>
    N           Min           Max        Median           Avg        Stddev
x 100            18           255            37         56.05     44.479793

--
zsebHUP-ot használok!

( Hubman | 2014. 02. 02., v – 20:27 )

Én ahol csak lehet, az OpenDNS-t preferálom. Több szempontból is jónak tartom:
- gyors
- megbízható, stabil
- biztonságos

Alapból leszűri a netedhez érkező Malware/Botnet/Phishing forgalmat, ezen kívül be tudsz állítani több más kategóriát is. Mivel DNS szinten szűr, nagyon hatékony, a cégnél is ezt használjuk, a Barracuda SPAM szűrőnkbe is ez van megadva és jelentősen csökkent a SPAM forgalom. :)

Másodlagos alternatívaként a Google DNS-ét ajánlom.

( bAndie9100 | 2014. 02. 02., v – 23:02 )

épp kezdtem volna kifejteni a tapasztalataimat a bind9-rõl és a dnsmasq-ról, de úgy látom, nem ez a téma :)

~~~~~~~~
Linux 3.2.0-4-486
Debian 7.1

bekonfigurálni a root kiszolgálókat, [...] nem kell használni senki névszerverét

sõt ellenkezõleg! ebben az esetben "mindenki" névszerverét fogja használni (rekurzív névfeloldás).
fogalmazzunk úgy, "senki resolverét nem kell használni"

~~~~~~~~
Linux 3.2.0-4-486
Debian 7.1