Jak se projevilo snížení TTL v zóně .cz

V druhé polovině února jsme informovali o snížení TTL v zóně .cz, a to o jednu hodinu. Poté jsme vždy každou středu, v podobném čase, provedli snížení o další hodinu, až jsme 15. března 2017 dosáhli na požadovanou hodnotu 1 hodiny (tedy TTL=3600).

Snižování TTL jsme provedli konkrétně v těchto časech:

22.02. 2017 ve 14:50,
01.03. 2017 ve 15:25,
08.03. 2017 ve 15:50,
15.03. 2017 ve 15:25.

Hodnotu TTL jsme z opatrnosti snižovali po týdnech, neboť velká změna o 4 hodiny by totiž mohla znamenat znatelnější nárůst dotazů v okamžiku, kdy expirují záznamy z cache rekurzivních DNS resolverů. Postupné snižování nám také umožnilo průběžné monitorovat, jak se změna projeví v provozu a případně přizpůsobit další kroky zjištěným dopadům. Veškerá data o DNS provozu dlouhodobě sbíráme do vlastního systému, ze kterého, kromě sumárních statistik, dokážeme získávat data až na úrovni jednotlivého DNS požadavku.

Zajímavosti z provozu

Všechny anycast DNS servery, jak v České republice, tak v zahraničních lokalitách, odbaví za den průměrně (vztaženo k březnu 2017) okolo jedné miliardy požadavků.

Největším odběratelem DNS provozu .cz zóny je operátor O2 (průměrně 150 000 000 požadavků/den) a společnost Google (130 000 000 požadavků/den). Na dalších místech jsou v tomto pomyslném žebříčku Seznam.cz a její e-mailové služby (53 000 000 požadavků/den) a Microsoft (30 000 000 požadavků/den). Následují větší poskytovatelé připojení, hostingové společnosti a mobilní operátoři.

Nejvíce DNS provozu odbaví lokality v České republice – 36 %, následované lokalitami ve Velké Británii – 19 %, USA – 14 %, Rakousku – 12 %, Německu – 10 % a zbytku světa (Chile, Švédsku, Japonsku) – 9 %.

Pojďme se podívat na DNS provoz trochu blíže. DNS provozem rozumíme přijaté dotazy od DNS serverů na dotazované jméno (tzv. QNAME) společně s typem dotazu (tzv. QTYPE) a na ně navazující odpovědi s návratovým kódem.

Nejčastěji vyskytující se typy dotazů, zjištěné z našich statistik měsíce března 2017, ukazuje následující graf. Pro zopakování:

A – Address Record (obsahuje IPv4 adresu přiřazenou danému jménu),
AAAA – IPv6 Address Record (obsahuje IPv6 adresu přiřazenou danému jménu),
DS – Delegation Signer (obsahuje hash veřejného klíče pro DNSSEC),
MX – Mail Exchange Record (obsahuje adresu a prioritu pro příjem elektronické pošty),
NS – Name Server Record (obsahuje adresu autoritativního DNS serveru pro dané jméno),
TXT – Text Record (obsahuje libovolný textový řetězec),
SRV – Service Record (obsahuje odkaz na jinou adresu a port),
CNAME – Canonical Name Record (obsahuje alias k danému jménu).

Podíl výskytů dle QTYPE

Nejčastější návratové kódy v odpovědích jsou:

0 – NOERROR (dotaz úspěšně vyřízen),
1 – FORMERR (chyba ve formátu dotazu),
2 – SERVFAIL (dotaz není možné vyřídit, chyba),
3 – NXDOMAIN (dotazované jméno neexistuje),
4 – NOTIMP (nepodporovaný typ dotazu),
5 – REFUSED (DNS server odmítl odpovědět na dotaz),
9 – NOTZONE (dotazované jméno se nenachází v zóně).

Podíl výskytů dle RCODE

Každý den registrujeme, přibližně v čase 14:50 – 17:00, výrazné zahuštění DNS dotazů vracející odpověď 3 – NXDOMAIN.

snizeniTTL-rcode

O jaká neexistující doménová jména a typy záznamů se jedná? Nejčastěji jde o domény, které již byly vyřazeny z registru a smazány z DNS serverů  a rekurzivní DNS servery se na ně stále dotazují. Některé jsou ovšem s největší pravděpodobností vymyšlené nebo se dotazují přímo na autoritativní DNS servery CZ.NIC namísto delegovaných NS serverů.

Dopad snížení TTL na provoz DNS serverů

Největším dopadem snížení TTL byl skokový nárůst všech DNS dotazů, které expirovaly z cache DNS resolverů.

Při srovnání veškerého DNS provozu byly počty dotazů za sekundu ve špičkách jednotlivých dnů, po snížení TTL, v průměru o 50 % vyšší. Toto navýšení opět po několika minutách pominulo, jak je patrno z níže uvedených grafů.

Nárůst queries

Dále jsme pozorovali zvýšený počet NXDOMAIN odpovědí, tedy odpovědí DNS dotazů na neexistující nebo již expirované záznamy. Ty mohly být způsobené také dotazujícími DNS resolvery bez použití cache.

Níže uvedený graf ukazuje skokový nárůst NXDOMAIN, trvající vždy 15 minut dle nastaveného NXDOMAIN TTL.

Z dlouhodobého pohledu však změna TTL na DNS provoz neměla žádný významnější vliv. Krátkodobé zvýšení počtu DNS dotazů na serverech proběhlo podle našich očekávání, nebylo nijak zásadní nebo nestandardní.

Snížením TTL jsme docílili rychlejších změn delegací v registru, které se v kratší době projeví na autoritativních DNS serverech, ale i na DNS resolverech. Aktuálně nastavenou hodnotu TTL v zóně .cz je možné ověřit příkazem $ dig +multiline soa cz, případně online např. na http://www.webdnstools.com/dnstools/dns-lookup.

Pro srovnání – TTL národních domén okolních států se pohybují od jedné hodiny až po dva dny. Blíže:
Holandsko (.nl) – 1 hodina,
Maďarsko (.hu) – 1 hodina,
Německo (.de) – 1 den,
Slovensko (.sk) – 1 den,
Polsko (.pl) – 1 den,
Rakousko (.at) – 2 dny,
Francie (.fr) – 2 dny,
Velká Británie (.uk) – 2 dny.

Zajímavostí je, že generické domény .com, .net, .biz a .org mají TTL nastaveno dokonce na 15 minut.

Podobným způsobem je možné zjistit hodnotu TTL často navštěvovaných domén druhých a nižších úrovní.

Autor:

Komentáře (7)

  1. Vláďa říká:

    > O jaká neexistující doménová jména a typy záznamů se jedná? Nejčastěji jde o domény, které již byly vyřazeny z registru a smazány z DNS serverů a rekurzivní DNS servery se na ně stále dotazují. Některé jsou ovšem s největší pravděpodobností vymyšlené nebo se dotazují přímo na autoritativní DNS servery CZ.NIC namísto delegovaných NS serverů.

    Té spekulaci na konci citace nerozumím – asi jsem ji špatně pochopil. Pokud se někdo zeptá serverů *.ns.nic.cz na jméno foo.bar.cz místo aby se ptal delegovaných serverů, dostane zpět odpověď NOERROR (NODATA) s delegací na servery pro bar.cz podstrom. (Chápal jsem to tak, že myslíte případy kdy bar.cz existuje.) Takový případ snad nezahrnujete do NXDOMAIN?

    • Václav Steiner říká:

      Dobrý den,
      ano, máte samozřejmě pravdu, děkuji za připomínku. Vámi uvedený příklad skutečně nepatří do NXDOMAIN. Tam jsou zahrnuta opravdu jen neexistující doménová jména.

  2. Petr říká:

    1/ Nejvíce DNS provozu odbaví lokality v České republice – 36 %
    Není to nějak málo? To se ty dotazy z Česka tak tahají přes cizinu nebo opravdu 64% dotazů jsou ze zahraničí?

    2/ Když už to máte tak hezky statisticky podchycené, kolik dotazů NXDOMAIN je na IDN domény?
    Toto samozřejmě musíte vědět, tak se s tím pochlubte.

    • Václav Steiner říká:

      Dobrý den, k Vašim otázkám

      1) Sumárně větší množství dotazů ze zahraničních lokalit je dán tím, že velké společnosti Google, Microsoft, Facebook aj. mají svá datacentra v různých částech světa. Mimo jiné také v Evropě, kde je provoz z pohledu zahraničních lokalit nejvýznamnější. Naše anycast DNS servery umístěné v těchto (a nebo blízkých) lokalitách na sebe stáhnou provoz, jsou tedy „blíž“ a provoz neputuje až do ČR.

      2) Je to méně než 1% všech dotazů typu NXDOMAIN. Takže skutečně velmi malé číslo.

  3. Petr říká:

    Trochu mne překvapuje aktivita Googlu. Víte, na co využívá Google tak masivní DNS dotazování?
    Díky.
    Petr

    • JF říká:

      Napr. ja používam Google DNS. Zrejme preto.

    • Václav Steiner říká:

      Ano, přesně tak. Je to z důvodu použití Google DNS resolverů 8.8.8.8; 8.8.4.4 (a samozřejmě ekvivalentů po IPv6) nejčastěji na klientských zařízeních.

Zanechte komentář