A resolução do nome do host leva 5 segundos

8

Eu tenho um bind9servidor DNS mestre e 2 servidores escravos em execução no IPv4 (Debian Jessie), usando /etc/bind/named.conf:

listen-on-v6 { none; };

Quando tento conectar-me a diferentes servidores, cada conexão leva pelo menos 5 segundos (estou usando as informações de tempo de Joseph para depuração):

$ curl -w "@curl-format.txt" -o /dev/null -s https://example.com
            time_namelookup:  5.512
               time_connect:  5.512
            time_appconnect:  5.529
           time_pretransfer:  5.529
              time_redirect:  0.000
         time_starttransfer:  5.531
                            ----------
                 time_total:  5.531

De acordo com curl, a pesquisa leva a maior parte do tempo, no entanto, o padrão nslookupé muito rápido:

$ time nslookup example.com > /dev/null 2>&1

real    0m0.018s
user    0m0.016s
sys     0m0.000s

Depois de forçar o curluso do IPv4, fica muito melhor:

$ curl -4 -w "@curl-format.txt" -o /dev/null -s https://example.com

            time_namelookup:  0.004
               time_connect:  0.005
            time_appconnect:  0.020
           time_pretransfer:  0.020
              time_redirect:  0.000
         time_starttransfer:  0.022
                            ----------
                 time_total:  0.022

Desabilitei o IPv6 no host:

echo 1 > /proc/sys/net/ipv6/conf/eth0/disable_ipv6

embora o problema persista. Eu tentei correr stracepara ver qual é o motivo dos tempos limite:

write(2, "*", 1*)                        = 1
write(2, " ", 1 )                        = 1
write(2, "Hostname was NOT found in DNS ca"..., 36Hostname was NOT found in DNS cache
) = 36
socket(PF_INET6, SOCK_DGRAM, IPPROTO_IP) = 4
close(4)                                = 0
mmap(NULL, 8392704, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_STACK, -1, 0) = 0x7f220bcf8000
mprotect(0x7f220bcf8000, 4096, PROT_NONE) = 0
clone(child_stack=0x7f220c4f7fb0, flags=CLONE_VM|CLONE_FS|CLONE_FILES|CLONE_SIGHAND|CLONE_THREAD|CLONE_SYSVSEM|CLONE_SETTLS|CLONE_PARENT_SETTID|CLONE_CHILD_CLEARTID, parent_tidptr=0x7f220c4f89d0, tls=0x7f220c4f8700, child_tidptr=0x7f220c4f89d0) = 2004
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
rt_sigaction(SIGPIPE, NULL, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
poll(0, 0, 4)                           = 0 (Timeout)
rt_sigaction(SIGPIPE, NULL, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
poll(0, 0, 8)                           = 0 (Timeout)
rt_sigaction(SIGPIPE, NULL, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
poll(0, 0, 16)                          = 0 (Timeout)
rt_sigaction(SIGPIPE, NULL, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
poll(0, 0, 32)                          = 0 (Timeout)
rt_sigaction(SIGPIPE, NULL, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
rt_sigaction(SIGPIPE, {SIG_IGN, [PIPE], SA_RESTORER|SA_RESTART, 0x7f22102e08d0}, NULL, 8) = 0
poll(0, 0, 64)                          = 0 (Timeout)

Não parece ser um problema de firewall, pois nslookup(ou curl -4) está usando os mesmos servidores DNS. Alguma ideia do que pode estar errado?

Aqui está tcpdumpdo host tcpdump -vvv -s 0 -l -n port 53:

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:14:52.542526 IP (tos 0x0, ttl 64, id 35839, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.1.1.59163 > 192.168.1.2.53: [bad udp cksum 0xf9f3 -> 0x96c7!] 39535+ A? example.com. (35)
20:14:52.542540 IP (tos 0x0, ttl 64, id 35840, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.1.1.59163 > 192.168.1.2.53: [bad udp cksum 0xf9f3 -> 0x6289!] 45997+ AAAA? example.com. (35)
20:14:52.543281 IP (tos 0x0, ttl 61, id 63674, offset 0, flags [none], proto UDP (17), length 158)
    192.168.1.2.53 > 192.168.1.1.59163: [udp sum ok] 45997* q: AAAA? example.com. 1/1/0 example.com. [1h] CNAME s01.example.com. ns: example.com. [10m] SOA ns01.example.com. ns51.domaincontrol.com. 2016062008 28800 7200 1209600 600 (130)
20:14:57.547439 IP (tos 0x0, ttl 64, id 36868, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.1.1.59163 > 192.168.1.2.53: [bad udp cksum 0xf9f3 -> 0x96c7!] 39535+ A? example.com. (35)
20:14:57.548188 IP (tos 0x0, ttl 61, id 64567, offset 0, flags [none], proto UDP (17), length 184)
    192.168.1.2.53 > 192.168.1.1.59163: [udp sum ok] 39535* q: A? example.com. 2/2/2 example.com. [1h] CNAME s01.example.com., s01.example.com. [1h] A 136.243.154.168 ns: example.com. [30m] NS ns01.example.com., example.com. [30m] NS ns02.example.com. ar: ns01.example.com. [1h] A 136.243.154.168, ns02.example.com. [1h] A 192.168.1.2 (156)
20:14:57.548250 IP (tos 0x0, ttl 64, id 36869, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.1.1.59163 > 192.168.1.2.53: [bad udp cksum 0xf9f3 -> 0x6289!] 45997+ AAAA? example.com. (35)
20:14:57.548934 IP (tos 0x0, ttl 61, id 64568, offset 0, flags [none], proto UDP (17), length 158)
    192.168.1.2.53 > 192.168.1.1.59163: [udp sum ok] 45997* q: AAAA? example.com. 1/1/0 example.com. [1h] CNAME s01.example.com. ns: example.com. [10m] SOA ns01.example.com. ns51.domaincontrol.com. 2016062008 28800 7200 1209600 600 (130)

EDIT: Nos logs de ligação freqüentemente aparece esta mensagem:

error sending response: host unreachable

No entanto, cada consulta é eventualmente respondida (leva apenas 5s). Todas as máquinas são servidores físicos (não é culpa do NAT), é mais provável que os pacotes estejam sendo bloqueados por um roteador. Aqui está uma pergunta relacionada muito provável: as pesquisas de DNS às vezes levam 5 segundos .

debian dns ipv6 bind nslookup Tombart
fonte
1
strace -tttornaria o rastreamento mais informativo ao rastrear atrasos.
JigglyNaga
Obrigado, não ajuda muito neste caso. Parece estar preso em uma olhada ao tentar novamente a mesma conexão com o aumento do tempo limite poll(0, 0, 1000) = 0 (Timeout). No lado do servidor DNS, estou recebendo erros frequentes error sending response: host unreachableque parecem que o pacote de saída está bloqueado (mas não para nslookup).
Tombart
Isso parece semelhante- philippecloutier.com/…
Jeff Schaller

Respostas:

9

Resposta curta:

Uma solução alternativa está forçando glibca reutilização de um soquete para consulta dos registros AAAAe A, adicionando uma linha a /etc/resolv.conf:

options single-request-reopen

A verdadeira causa desse problema pode ser:

Resposta longa:

Programas como curlou wgetusam a função getaddrinfo () da glibc , que tenta ser compatível com IPv4 e IPv6, procurando os dois registros DNS em paralelo. Ele não retorna o resultado até que os dois registros sejam recebidos (há vários problemas relacionados a esse comportamento ) - isso explica o straceacima. Quando o IPv4 é forçado, curl -4internamente , como gethostbyname()consultas Aapenas para registro.

A partir tcpdumppodemos ver que:

  • -> A? dois pedidos são enviados no início
  • -> AAAA? (solicitando endereço IPv6)
  • <- AAAA resposta
  • -> A? solicitando novamente o endereço IPv4
  • <- A obteve resposta
  • -> AAAA? solicitando IPv6 novamente
  • <- AAAA resposta

Uma Aresposta é descartada por algum motivo, essa é a mensagem de erro:

error sending response: host unreachable

No entanto, não está claro para mim o porquê da necessidade de segunda AAAAconsulta.

Para verificar se você está tendo o mesmo problema, atualize o tempo limite em /etc/resolv.conf:

options timeout:3

como descrito aqui :

$ curl -w "@curl-format.txt" -o /dev/null -s https://example.com

            time_namelookup:  3.511
               time_connect:  3.511
            time_appconnect:  3.528
           time_pretransfer:  3.528
              time_redirect:  0.000
         time_starttransfer:  3.531
                            ----------
                 time_total:  3.531

Existem duas outras opções relacionadas em man resolv.conf:

de solicitação única (desde glibc 2.10) conjuntos RES_SNGLKUP em _res.options. Por padrão, o glibc realiza pesquisas IPv4 e IPv6 em paralelo desde a versão 2.9. Alguns servidores DNS do dispositivo não podem lidar com essas consultas corretamente e fazer com que as solicitações atinjam o tempo limite. Esta opção desabilita o comportamento e faz com que o glibc execute as solicitações IPv6 e IPv4 sequencialmente (ao custo de alguma lentidão no processo de resolução).

solicitação única reabertura (desde a glibc 2.9) O resolvedor usa o mesmo soquete para as solicitações A e AAAA. Algum hardware, por engano, envia apenas uma resposta. Quando isso acontece, o sistema do cliente fica parado e aguarda a segunda resposta. Ativar essa opção altera esse comportamento para que, se duas solicitações da mesma porta não forem tratadas corretamente, feche o soquete e abra uma nova antes de enviar a segunda solicitação.

Assuntos relacionados:

Tombart
fonte
@RuiFRibeiro Basicamente, com base no volume positivo, parecia que os usuários acharam a outra resposta mais útil. Nenhuma ofensa significava.
Tombart
4

Como o @Tombart diz, o atraso é devido à espera pelo tempo limite da resolução IPv6.

Outro curso de ação possível é dar precedência ao IPv4 no /etc/gai.conf

Dos comentários em /etc/gai.conf

#   For sites which prefer IPv4 connections change the last line to
#
precedence ::ffff:0:0/96  100

Após a alteração gai.conf, é necessário reiniciar qualquer aplicativo usando a biblioteca de resolvedores DNS para que a alteração entre em vigor.

Lembre-se de que, se você estiver usando um servidor BIND sem conectividade IPv6, aconselho desativar o IPv6 namede retirar as dicas de raiz dos endereços IPv6. Obviamente, ele ainda tentará resolver os endereços AAAA.

Portanto, para a configuração do BIND,

Em / etc / default / bind9, adicione -4 para endereços IPv4:

OPTIONS="-4 -u bind"

e /etc/bind/db.rootexclua todas as linhas com raízes de DNS AAAA.

Rui F Ribeiro
fonte
2

Eu tive um problema semelhante ao usar o BIND9. Para corrigir isso, eu precisava adicionar:

filter-aaaa-on-v4 yes;

opção para o meu named.conf.

( Mais informações )

xtavras
fonte