[Nlnog] DNS software

bert hubert bert.hubert at netherlabs.nl
Fri May 19 14:03:39 UTC 2006 

On Thu, May 18, 2006 at 04:29:16PM +0200, Teun Vink wrote:

> > Maar waarom vraag je het niet aan Bert Hubert (PowerDNS) zelf, je kan
> > nog nederlands tegen hem praten ook :) Of informeer eens bij XS4all en
> > True, aangezien deze clubs nauw betrokken zijn bij de ontwikkeling van
> > PowerDNS.
> 
> Wie zegt dat dat niet gedaan is? :)

Ik :-)

> > op http://ds9a.nl/tmp/rrd/ kun je wat grafiekjes zien van een caching 
> > nameserver, met een redelijke belasting.
> 
> Alleen zegt die pagina niets over de gebruikte hardware en de CPU- en
> memory-belasting die het veroorzaakt...

In tests blijkt dat je wegkomt met 5000qps gemiddeld op een dual xeon met 2G
ram. 5000qps gemiddeld houdt in dat pieken naar 10000qps geen problemen
opleveren.

Op een dual opteron met Solaris 10 hebben we 80000qps gemeten, zonder drops.
Alleen hadden we toen wel een park testmachines nodig om zoveel verkeer te
genereren. Kabels werden ook wat warm :-)

Het lijkt erop dat PowerDNS recursor performance vrijwel een functie is van
je geheugenbandbreedte, en dan scoren dual opterons heel erg goed.

Je kunt het geheugengebruik van PowerDNS limiteren, praktisch gezien eet een
hele drukke recursor ongeveer een gig ram als je ongelimiteerd draait. Het
is verstandig jezelf te beperken tot zo'n 5 miljoen cache entries, anders
kan iemand plezier hebben met wildcard records en pogen al je ram op te
eten.

Als er meer vragen zijn hoor ik het graag. Naast performance is PowerDNS ook
nog de nameserver die het moeilijkst te spoofen is, zie ook de draft-draft
RFC op http://ds9a.nl/rfc/dns-anti-spoofing.html . BIND 8 of 9 draaien is
eigenlijk niet verantwoord meer:

 The calculations above indicate the relative ease with which DNS data can
 be spoofed. For example, using the formula derived earlier on a domain with
 a 3600 second TTL, an attacker sending 7000 fake answer packets/s (a rate
 of 4.5Mb/s), stands a 10% chance of spoofing a record in the first 24
 hours, which rises to 50% after a week.

 For a domain with a TTL of 60 seconds, the 10% level is hit after 24
 minutes, 50% after less than 3 hours, 90% after around 9 hours.

Groeten,

bert

-- 
http://www.PowerDNS.com      Open source, database driven DNS Software 
http://netherlabs.nl              Open and Closed source services

More information about the NLNOG mailing list