Bind DNS Recursion Slow

9

Właśnie skonfigurowaliśmy rekursywny serwer DNS przy użyciu najnowszej stabilnej wersji Bind 9.10

Stwierdzamy, że rekurencyjne wyszukiwania DNS są dość wolne. Gdziekolwiek od 1 do 3 sekund. Gdy wyszukiwanie jest w pamięci podręcznej, DNS rozwiązuje się w ciągu milisekund zgodnie z oczekiwaniami.

Wykorzystujemy wskazówki ROOT do wyszukiwania rekurencyjnego i wydaje się, że to właśnie z tego wynika powolność. Jeśli skonfigurujemy usługę przesyłania dalej, rozdzielczość DNS sprowadza się do rozsądnego czasu rekurencji wynoszącego 100–300 ms.

W przypadku usługi, którą konfigurujemy, nie chcę polegać na usługach przesyłania dalej, wolałbym używać wskazówek dotyczących roota.

Oto główna konfiguracja z naszego pliku named.conf . Wszelkie wskazówki pomagające poprawić wydajność byłyby świetne.

options{
allow-recursion  { any; };
allow-query-cache  { any; };
allow-query  { any; };

listen-on  port 53  { any; };
listen-on-v6  port 53  { any; };

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

zone-statistics yes;
max-cache-ttl 3600;
max-ncache-ttl 3600;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";

directory  "/var/named";
dump-file  "/var/named/data/cache_dump.db";
statistics-file  "/var/named/stats/named_stats.txt";
memstatistics-file  "/var/named/stats/named_mem_stats.txt";

rate-limit {
    responses-per-second 10;
    log-only yes;
};

prefetch 5;};

zone "." {
type hint;
file "named.ca";};

include "/var/named/conf/logging.conf";
ausip
źródło
5
Chciałbym użyć tcpdump i zobaczyć, co się właściwie dzieje podczas powolnych żądań.
yoonix
Coś w logach?
Håkan Lindqvist

Odpowiedzi:

6

Znaleźliśmy problem. To był problem z rozładowaniem sprzętu karty sieciowej.

Uruchomienie tcpdump -vvv -s 0 -l -n port 53znalazło garść [bad udp cksum 6279!]błędów dla każdego zapytania DNS.

Trochę przeglądania w Google wskazało mi właściwy kierunek. Jak się okazuje, ponieważ nasz system CentOS działa jako VM na XenServer (podobne problemy zgłaszane w VMWare itp.) Odciążanie sprzętowe NIC jest domyślnie włączone.

Bieganie ethtool -k eth0 | grep onpokazało, co następuje

x-checksumming: on
tx-checksum-ipv4: on
scatter-gather: on
tx-scatter-gather: on
tcp-segmentation-offload: off
tx-tcp-segmentation: off
tx-tcp-ecn-segmentation: off
tx-tcp6-segmentation: off
udp-fragmentation-offload: off [fixed]
generic-segmentation-offload: on
generic-receive-offload: on
tx-gso-robust: on [fixed]
tx-fcoe-segmentation: off [fixed]
tx-gre-segmentation: off [fixed]
tx-udp_tnl-segmentation: off [fixed]

Uruchamianie ethtool -K eth0 tx off rx offwyłączone odciążanie TCP TX. Ponownie zrestartowałem usługę sieciową

service network restart

i przetestowałem BIND. Otrzymujemy teraz bardzo szybkie czasy reakcji od BIND

dig centos.org

; <<>> DiG 9.10.2-P4-RedHat-9.10.2-P4.el6 <<>> centos.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61933
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;centos.org.INA

;; ANSWER SECTION:
centos.org.60INA85.12.30.227

;; Query time: 268 msec
;; SERVER: 192.168.10.25#53(192.168.10.25)
;; WHEN: Thu Sep 17 08:25:39 AEST 2015
;; MSG SIZE  rcvd: 55
ausip
źródło
2

Miałem ten sam problem z bardzo powolnymi zapytaniami rekurencyjnymi na fizycznym serwerze BIND CentOS 7 i znalazłem tę odpowiedź (TX Offloading) oraz wiele poprawek zorientowanych na IPv6 wokół różnych wątków, z których żaden nie działał dla mnie.

Okazuje się, że lokalizacja tego serwera miała starszą zaporę Cisco ASA, która ograniczała rozmiar pakietów odpowiedzi UDP do 512 bajtów; wydaje się, że w dzisiejszych czasach odpowiedzi UDP na zapytania DNS są często znacznie większe, do około 2000 bajtów. Tutaj jest o tym strona:

Dlaczego DNS przez UDP ma limit 512 bajtów?

Skonfigurowałem ASA, aby zezwalał na większe pakiety odpowiedzi UDP (jest do tego specjalne polecenie naprawy), które rozwiązały problem:

https://supportforums.cisco.com/t5/getting-started-with-lans/dns-dropped-because-packets-to-big-for-configured-512/td-p/861718

Eric Hensley
źródło