Início / server / Perguntas / 674934
Accepted
s1lv3r
Asked: 2015-03-13 05:28:07 +0800 CST

Calcule corretamente o DNS TTL da saída host -a

  • 772

Estou tentando descobrir como os TTLs são tratados no DNS (no final, estou tentando descobrir a maneira mais rápida de alternar um domínio), mas de alguma forma estou preso na interpretação dos valores TTL.

Por exemplo, mudei um domínio hoje que tinha os seguintes registros DNS antes de movê-lo para mim:

host -a exemplo.com ns.old-provider.net

Trying "example.com"
Using domain server:
Name: ns.old-provider.net
Address: 0.0.0.0#53
Aliases: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45674
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4

;; QUESTION SECTION:
;example.com.           IN  ANY

;; ANSWER SECTION:
example.com.        3600    IN  NS  ns9.old-provider.net.
example.com.        3600    IN  NS  ns.old-provider.net.
example.com.        180 IN  MX  10 mail.example.com.
example.com.        3600    IN  NS  ns8.old-provider.net.
example.com.        180 IN  A   0.0.0.0
example.com.        3600    IN  SOA ns.old-provider.net. info.old-provider.net. 2015012001 14400 3600 604800 3600

;; ADDITIONAL SECTION:
ns8.old-provider.net.   86400   IN  A   0.0.0.0
ns9.old-provider.net.   3600    IN  A   0.0.0.0
ns.old-provider.net.        86400   IN  A   0.0.0.0
mail.example.com.   180 IN  A   0.0.0.0

Received 258 bytes from 0.0.0.0#53 in 31 ms

Minha interpretação da saída acima é que este domínio deve ser resolvido para meu servidor após no máximo 3600 segundos (já que estou alterando os registros NS e A).

Como movi o domínio acima, 3 horas depois de receber o TRANSFER ACK, ele ainda está resolvendo para o servidor DNS errado:

host -a example.com 8.8.8.8
[...]

;; ANSWER SECTION:
example.com.        179 IN  A   0.0.0.0
example.com.        3599    IN  NS  ns9.old-provider.net.
example.com.        3599    IN  NS  ns.old-provider.net.
example.com.        179 IN  MX  10 mail.example.com
example.com.        3599    IN  NS  ns8.old-provider.net.
example.com.        3599    IN  SOA ns.old-provider.net. info.old-provider.net. 2015012001 14400 3600 604800 3600

Como você pode ver, estou usando o servidor DNS do Google para verificar, então acho que pode ser salvo que o TTL seja respeitado.

Eu devo estar esquecendo alguma coisa. Mas não consigo descobrir - alguém pode me dar uma dica aqui, por favor?

O problema é o TTL do registro SOA, então isso deve ser reduzido antes de fazer a troca?

EDITAR

cavar +traçar +exemplo adicional.com @8.8.8.8

; <<>> DiG 9.8.1-P1 <<>> +trace +additional example.com @8.8.8.8
;; global options: +cmd
.           1024    IN  NS  c.root-servers.net.
.           1024    IN  NS  i.root-servers.net.
.           1024    IN  NS  j.root-servers.net.
.           1024    IN  NS  d.root-servers.net.
.           1024    IN  NS  f.root-servers.net.
.           1024    IN  NS  g.root-servers.net.
.           1024    IN  NS  k.root-servers.net.
.           1024    IN  NS  a.root-servers.net.
.           1024    IN  NS  h.root-servers.net.
.           1024    IN  NS  l.root-servers.net.
.           1024    IN  NS  b.root-servers.net.
.           1024    IN  NS  e.root-servers.net.
.           1024    IN  NS  m.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 30 ms

de.         172800  IN  NS  z.nic.de.
de.         172800  IN  NS  f.nic.de.
de.         172800  IN  NS  a.nic.de.
de.         172800  IN  NS  l.de.net.
de.         172800  IN  NS  s.de.net.
de.         172800  IN  NS  n.de.net.
a.nic.de.       172800  IN  A   194.0.0.53
a.nic.de.       172800  IN  AAAA    2001:678:2::53
f.nic.de.       172800  IN  A   81.91.164.5
f.nic.de.       172800  IN  AAAA    2a02:568:0:2::53
l.de.net.       172800  IN  A   77.67.63.105
l.de.net.       172800  IN  AAAA    2001:668:1f:11::105
n.de.net.       172800  IN  A   194.146.107.6
n.de.net.       172800  IN  AAAA    2001:67c:1011:1::53
s.de.net.       172800  IN  A   195.243.137.26
z.nic.de.       172800  IN  A   194.246.96.1
;; Received 343 bytes from 2001:500:2f::f#53(2001:500:2f::f) in 179 ms

example.com.        86400   IN  NS  ns9.old-provider.net.
example.com.        86400   IN  NS  ns8.old-provider.net.
example.com.        86400   IN  NS  ns.old-provider.net.
;; Received 93 bytes from 0.0.0.0#53(0.0.0.0) in 39 ms

example.com.        180 IN  A   0.0.0.0
;; Received 45 bytes from 0.0.0.0#53(0.0.0.0) in 29 ms
domain-name-system

1 respostas

  1. Best Answer

    Não posso responder com certeza porque você está usando um domínio ofuscado, mas ao alterar os NSregistros apex, também é importante verificar o TTL de seus registros de referência NSe os registros cola correspondentes. Deve-se esperar que os servidores de nomes antigos continuem a ver as consultas durante todo o tempo. Este seria o problema mais provável para mim, considerando os testes que você está executando.

    Como pano de fundo, vou direcioná-lo para uma sessão de perguntas e respostas existente que fiz há algum tempo. Os links de resposta aceitos para RFC2181 (eu o uso com frequência, pois é projetado para consumo humano):
    Qual é a função dos registros NS no ápice de um domínio DNS?

    Acredito que o que está acontecendo aqui é que seus registros de cola estavam sendo armazenados em cache passivamente. A razão pela qual isso não é óbvio em sua validação é que uma consulta explícita para os registros NSe Afrequentemente acionará uma pesquisa autoritativa, caso ainda não tenha sido feita. Basicamente, a cola é respeitada passivamente até que o TTL expire ou alguém solicite explicitamente o registro.

    A maneira mais fácil de confirmar é executar isto: dig +trace +additional example.com

    • 2

relate perguntas