Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

taille des paquets DNS

29 réponses
Avatar
GuiGui
Bonjour,

Je viens de faire un test de taille de paquets DNS sur une ubuntu comme
indiqué sur https://www.dns-oarc.net/oarc/services/replysizetest. Selon
que je suis simple utilisateur ou root je n'ai pas le même résultat.


utilisateur quelconque :
~$ dig +short rs.dns-oarc.net txt
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"Tested at 2010-01-25 10:49:47 UTC"
"213.228.63.47 DNS reply size limit is at least 490"
"213.228.63.47 lacks EDNS, defaults to 512"


en root :
~# dig +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
"213.228.63.17 DNS reply size limit is at least 3843"
"213.228.63.17 sent EDNS buffer size 4096"
"Tested at 2010-01-25 10:54:23 UTC"


Je ne vois pas bien où est le problème. Pourquoi un simple utilisateur
n'a-t-il pas accès aux edns ?

10 réponses

1 2 3
Avatar
Pascal Hambourg
Salut,

GuiGui a écrit :

Je viens de faire un test de taille de paquets DNS sur une ubuntu comme
indiqué sur https://www.dns-oarc.net/oarc/services/replysizetest. Selon
que je suis simple utilisateur ou root je n'ai pas le même résultat.

utilisateur quelconque :
~$ dig +short rs.dns-oarc.net txt


[...]
"213.228.63.47 DNS reply size limit is at least 490"
"213.228.63.47 lacks EDNS, defaults to 512"

en root :
~# dig +short rs.dns-oarc.net txt


[...]
"213.228.63.17 DNS reply size limit is at least 3843"
"213.228.63.17 sent EDNS buffer size 4096"
"Tested at 2010-01-25 10:54:23 UTC"

Je ne vois pas bien où est le problème. Pourquoi un simple utilisateur
n'a-t-il pas accès aux edns ?



A mon avis, c'est plutôt selon le cache récursif qui relaie la requête.
Apparemment 213.228.63.47 ne supporte pas EDNS, la taille de paquet est
donc limitée à 512 octets. 213.228.63.17 supporte EDNS et n'a pas cette
limitation.
Avatar
GuiGui
Pascal Hambourg a écrit :
Salut,

GuiGui a écrit :
Je viens de faire un test de taille de paquets DNS sur une ubuntu comme
indiqué sur https://www.dns-oarc.net/oarc/services/replysizetest. Selon
que je suis simple utilisateur ou root je n'ai pas le même résultat.

utilisateur quelconque :
~$ dig +short rs.dns-oarc.net txt


[...]
"213.228.63.47 DNS reply size limit is at least 490"
"213.228.63.47 lacks EDNS, defaults to 512"

en root :
~# dig +short rs.dns-oarc.net txt


[...]
"213.228.63.17 DNS reply size limit is at least 3843"
"213.228.63.17 sent EDNS buffer size 4096"
"Tested at 2010-01-25 10:54:23 UTC"

Je ne vois pas bien où est le problème. Pourquoi un simple utilisateur
n'a-t-il pas accès aux edns ?



A mon avis, c'est plutôt selon le cache récursif qui relaie la requête.
Apparemment 213.228.63.47 ne supporte pas EDNS, la taille de paquet est
donc limitée à 512 octets. 213.228.63.17 supporte EDNS et n'a pas cette
limitation.



Cela veut-il donc dire que je risque d'avoir un fonctionnement aléatoire
de dnssec ? Si oui, cela est plutôt gênant vu que la migration des
root-servers commence mercredi.
Avatar
GuiGui
GuiGui a écrit :
Pascal Hambourg a écrit :
Salut,

GuiGui a écrit :
Je viens de faire un test de taille de paquets DNS sur une ubuntu
comme indiqué sur
https://www.dns-oarc.net/oarc/services/replysizetest. Selon que je
suis simple utilisateur ou root je n'ai pas le même résultat.

utilisateur quelconque :
~$ dig +short rs.dns-oarc.net txt


[...]
"213.228.63.47 DNS reply size limit is at least 490"
"213.228.63.47 lacks EDNS, defaults to 512"

en root :
~# dig +short rs.dns-oarc.net txt


[...]
"213.228.63.17 DNS reply size limit is at least 3843"
"213.228.63.17 sent EDNS buffer size 4096"
"Tested at 2010-01-25 10:54:23 UTC"

Je ne vois pas bien où est le problème. Pourquoi un simple
utilisateur n'a-t-il pas accès aux edns ?



A mon avis, c'est plutôt selon le cache récursif qui relaie la requête.
Apparemment 213.228.63.47 ne supporte pas EDNS, la taille de paquet est
donc limitée à 512 octets. 213.228.63.17 supporte EDNS et n'a pas cette
limitation.



Cela veut-il donc dire que je risque d'avoir un fonctionnement aléatoire
de dnssec ? Si oui, cela est plutôt gênant vu que la migration des
root-servers commence mercredi.




D'un autre coté, il reste 5 mois pour faire le nécessaire chez Free.
Avatar
GV
"GuiGui" a écrit dans le message de news:
4b5d8750$0$10486$


Cela veut-il donc dire que je risque d'avoir un fonctionnement aléatoire
de dnssec ? Si oui, cela est plutôt gênant vu que la migration des
root-servers commence mercredi.




Bonjour,

Moi je viens de poster sur frtt et Pascal H. m'a grondé en me disant que ce
fil etait en cours ici :-))

Alors je viens dire que chez moi aussi c'est currieux et ta suspicion de
comportement aleatoire colle avec ce que je releve aujourd'hui.


Je voulais verifier si je devais m'attendre a des soucis avec ma connexion
internet au cours des prochains mois suite au passage des serveur DNS root a
la RCF 2671 autorisant les paquet DNS superieur a 512 octets.

Lorsque je demande par l'applet Java donnée ici :
http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues
de tester les DNS free que j'utilise : 212.27.40.240 / 212.27.40.241

Test results 212.27.40.241
for resolver: 213.228.63.13
Announced buffer size: 4096 bytes
Actual buffer size: 3839 bytes
EDNS enabled: yes
DNSSEC enabled: yes

Your resolver announced a buffer size bigger than the largest packet that it
can receive.

Ce que je confirme par un :

nslookup -q=txt rs.dns-oarc.net
Serveur : dns2.proxad.net
Address: 212.27.40.241

rst.x3843.x3837.x3827.rs.dns-oarc.net text = 213.228.63.12 DNS reply size
limit is at least 3843"

rst.x3843.x3837.x3827.rs.dns-oarc.net text = "213.228.63.12 sent EDNS
buffer size 4096"

"Tested at 2010-01-27 12:03:43 UTC"


Je vois que par le nslookup la reponse est "au moins 3843"
Sauf que l"actuelle donnée par l'applet java est inferieure a cette limite.
En meme temps ce n'est jamais le meme serveur qui repond :-/


un autre essai par l'applet sur 212.27.40.240 me donne :
Test results 212.27.40.240
for resolver: 213.228.63.49
Announced buffer size: 512 bytes
Actual buffer size: 486 bytes
EDNS enabled: no
DNSSEC enabled: no

Your resolver does not have DNSSEC enabled.
Your resolver was only able to get packets SMALLER than 512 bytes.

For detailed explanations about these messages see:
http://k.root-servers.org/replysizetest


Et je me demandais donc :
Qui croire ? Dois je m'attendre a recevoir des erreurs ?
Ne serait il pas plus sur que je n'utilise plus le DNS secondaire
212.27.40.240 ? mais par quoi le remplacer chez Free ?


Puis un peu plus tard je verifie sur une autre machine et je tombe sur un
resultat different avec le DNS 212.27.41.241. La limite de 512 apparait.
Je reviens sur la 1ere machine pour veridfier et voici ce que j'ai desormais
:

nslookup -q=txt rs.dns-oarc.net
Serveur : dns2.proxad.net
Address: 212.27.40.241

rst.x490.x485.x476.rs.dns-oarc.net text = "213.228.63.44 lacks EDNS,
defaults to 512"
rst.x490.x485.x476.rs.dns-oarc.net text = "213.228.63.44 DNS reply
size limit is at least 490"

"Tested at 2010-01-27 13:54:10 UTC"

et par l'applet Java :
Test results pour 212.27.40.241
for resolver: 213.228.63.44
Announced buffer size: 512 bytes
Actual buffer size: 486 bytes
EDNS enabled: no
DNSSEC enabled: no

Your resolver does not have DNSSEC enabled.
Your resolver was only able to get packets SMALLER than 512 bytes.



en fait, je m'apercois en le refaisant que la reponse change sans arret, un
cout DNSSEC ok , un cout non. :-/

--
Cordialement.
Avatar
GuiGui
GV a écrit :


en fait, je m'apercois en le refaisant que la reponse change sans arret,
un cout DNSSEC ok , un cout non. :-/




Parce que Free utilise un pool de DNS, dont certains acceptent les
réponses de grande taille et pas les autres. Tu passe aléatoirement par
l'un ou l'autre. Il leur reste 5 mois pour tout mettre au carré. Pas la
peine de s'affoler maintenant, ça m'étonnerait que Free ne soit pas au
courant des échéances.
Avatar
GV
"GuiGui" a écrit dans le message de news:
4b606e2f$0$10470$


Parce que Free utilise un pool de DNS, dont certains acceptent les
réponses de grande taille et pas les autres. Tu passe aléatoirement par
l'un ou l'autre. Il leur reste 5 mois pour tout mettre au carré. Pas la
peine de s'affoler maintenant, ça m'étonnerait que Free ne soit pas au
courant des échéances.





Free n'est qu'une partie du pb non ? je pourrais avoir un FAI qui assure
tout en DNSSEC sur mon acces degroupé, mais que je demande une page qui
traverse un equipement non a jour pour me parvenir.

Si je comprend bien c'est a partir de mai que l'on pourrait commencer a
avoir des soucis.
Et l'echeance de Juillet est fixée sous reserve de difficultes de
deploiement mal estimées .


--
Cordialement.
Avatar
Stephane Bortzmeyer
GV wrote:
ta suspicion de
comportement aleatoire colle avec ce que je releve aujourd'hui.



Ce n'est pas une suspicion : les résolveurs de Free sont effectivement
incohérents. Selon celui sur lequel on tombe, on a des résultats
différents. Le problème est maintenant bien connu (il a été discuté sur
la liste des opérateurs réseau français, Frnog, où plusieurs ingénieurs
de Free sont présents, ainsi que leur directeur technique).

Donc, la balle est chez Free.

Je voulais verifier si je devais m'attendre a des soucis avec ma
connexion internet au cours des prochains mois suite au passage des
serveur DNS root a la RCF 2671 autorisant les paquet DNS superieur a
512 octets.



Petite correction, cela fait longtemps que ces serveurs racines gèrent
proprement le RFC 2671 <http://www.bortzmeyer.org/2671.html&gt;. Mais,
avant, ils n'en profitaient pas et n'émettaient jamais de réponses de
grande taille.

Lorsque je demande par l'applet Java donnée ici :
http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues



Je n'ai jamais réussi à la faire fonctionner (c'est du Oracle Java),
donc je me méfie.

En meme temps ce n'est jamais le meme serveur qui repond :-/



C'est normal, derrière chaque adresse IP d'un résolveur Free, il y a
plusieurs machines. Ce qui est moins normal est le fait que leur
configuratoon soit différente.

Qui croire ? Dois je m'attendre a recevoir des erreurs ?
Ne serait il pas plus sur que je n'utilise plus le DNS secondaire
212.27.40.240 ? mais par quoi le remplacer chez Free ?



Difficile à dire. Je dirai qu'il faut quand même laisser un peu de temps
à Free avant de passer à votre propre résolveur.
Avatar
Stephane Bortzmeyer
GV wrote:

je pourrais avoir un FAI qui assure
tout en DNSSEC sur mon acces degroupé, mais que je demande une page qui
traverse un equipement non a jour pour me parvenir.



Une page ? Une page Web ? Dans ce cas là, cela n'a plus aucun rapport
avec le DNS.

Si je comprend bien c'est a partir de mai que l'on pourrait commencer a
avoir des soucis.



Oui.
Avatar
Pascal Hambourg
Stephane Bortzmeyer a écrit :
GV wrote:

je pourrais avoir un FAI qui assure
tout en DNSSEC sur mon acces degroupé, mais que je demande une page qui
traverse un equipement non a jour pour me parvenir.



Une page ? Une page Web ? Dans ce cas là, cela n'a plus aucun rapport
avec le DNS.



En effet. En revanche s'il s'agit d'une requête DNS qui transite par un
équipement non à jour (pare-feu, relais/proxy DNS), alors un tel
équipement est plutôt de la responsabilité du client.
Avatar
GV
"Stephane Bortzmeyer" a écrit dans le message de
news:


Une page ? Une page Web ? Dans ce cas là, cela n'a plus aucun rapport avec
le DNS.




oui pardonnez moi cet abus de langage.
Je me place du coté de l'utilisateur qui fait une requete DNS en "demandant
une page" , il ne sait pas forcement ce qui ce passe lorqu'il entre une
adresse http ou meme ftp, lui ce qu'il voit c'est que "l'hote n'a pu etre
joint"".

Tiens d'ailleurs, quelle type (s?) d'erreur http recevra t on quand la
requete ne pourra aboutir a cause de la taille ?
4xx ? 502 ? autre ?


--
Cordialement.
1 2 3