Krzysztof Halasa napisał(a):
> Krzysztof Mlynarski <k...@W...security.pl> writes:
>
>> To, że zazwyczaj resolvery w takiej sieci używają tych DNSów, które
>> pozwalają na odpytywanie rekurencyjne klientom z danej sieci.
>
> Takie end-userskie resolvery, bez wlasnego serwera?
> Tak czy owak, ten squish to nie ten przypadek (choc tez cokolwiek
> dziwny).
>
>> Michał napisał oczywiste rzeczy o TTLach, natomiast nigdzie nie
>> napisał, w jakim celu w sieciach niektórych operatorów, totalnie
>> ignoruje się TTLe wyspecyfikowane w danej strefie. W skutek czego
>> propagacja trwa niemiłosiernie długo.
>
> A konkretnie, na jakiej maszynce tak jest? Zaraz sprawdzimy.
>
>> Gorzej, jeśli musisz zlikwidować maszynę do konkretnej daty, a przez
>> operatorów ignorujących TTL i wstawiających w to miejsce własny,
>> propagacja sobie radośnie trwa i trwa i trwa... Tobie się wydawało, że
>> skrócenie TTLa jakiś czas przed przystąpieniem do przenoszenia serwera
>> załatwia temat, bo tak być powinno.
>
> Niezupelnie - jesli ktos ma TTL = miesiac, to fakt, ze na jeden dzien
> przed zmianami zmieni go na 5 minut wiele moze nie dac. Niestety musi
> to zrobic na miesiac przed zmianami, w przeciwnym przypadku to
> ruletka, i efekt moze byc taki, ze wieksze serwery (robiace rekurencje
> dla end userow) beda mialy stare wpisy, a mniejsze - nowe, bo nie byly
> odpytywane o to przed zmianami.

Ale część serwerów DNS olewa całkowicie TTL i trzyma dane przez 24 godziny. Może to
miało sens przy
słabych łączach i słabych maszynach. W tej chwili sensu nie ma. Kiedyś ktoś zrobił,
żeby cache było
48 godzin i tak już zostało. Sam się z tym zetknąłem kilka razy przy zmianach
delegacji i podobnych
operacjach.

wer