Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

كيف عرجاء لدينا وفود عكس؟

المُقدّمة

مشلولAFRINIC يدير عمليات التفويض العكسي (RDNS) لـ IPv4 و IPv6 العنوان المساحة المخصصة من قبل IANA ل AFRINIC.

عندما يتم إصدار الموارد لمشغلي الشبكات ، تقوم AFRINIC بتفويض سلطة المناطق العكسية لهؤلاء المشغلين ، الذين يتعين عليهم بدورهم نشر خوادم الأسماء الخاصة بمناطقهم العكسية في المناطق التي تديرها AFRINIC. كما تعلم ، تسمح RDNS للتطبيقات الموجودة على الإنترنت بتعيين IP لمضيف وتعتبر آلية مهمة تستخدمها العديد من التطبيقات على الإنترنت على سبيل المثال بواسطة خوادم البريد في منع البريد المزعج. لذلك من المهم جدًا الحصول على بيانات دقيقة حول المجالات العكسية في AFRINIC WHOIS قاعدة البيانات مثل تلك التكوينات الخاطئة يمكن أن يكون تأثير سلبي متعدد على متانة DNS.

وقد AFRINIC حولها 30000 كائنات المجال مع +72000 سجلات NS مع أكثر من 45% من سجلات NS عرجاء في IPv4 المناطق و 32% من سجلات NS عرجاء IPv6. هذا يشكل حول 25% جميع الكائنات المجال يجري عرجاء.

 

متى يعتبر وفدكم "عرجاء"؟

RFC1912 يُعرّف التفويض على أنه "عرجاء" عندما يتم تفويض خادم الأسماء بمسؤولية توفير خدمة أسماء لمنطقة (عبر سجلات NS) ولكنه لا يقوم بذلك فعليًا ، بمعنى أنه لم يتم إعداد خادم الأسماء كخادم أساسي أو ثانوي . ومع ذلك ، قمنا بتصنيف "العرج" في أربع حالات مختلفة لمزيد من التفاصيل.

حالات وفد عرجاء

يعتبر التفويض (rdns) "عرجاء" إذا تم استيفاء أحد القواعد التالية:

 

قاعدة# سبب الوصف مثال رسالة خطأ
1 خادم الأسماء غير قابل للوصول

خادم الأسماء غير مستجيب

 dig + norec aaa.bbb.ccc @ toto.afrinic.net A
dig: تعذر الحصول على عنوان 'toto.afrinic.net': غير موجود
or
حفر + norec @ 1.1.1.1 afrinic.net أ ؛ << >> DiG 9.8.3-P1 << >> + norec @ 1.1.1.1 afrinic.net أ
. (تم العثور على خادم 1)
؛؛ الخيارات العالمية: + cmd
؛؛ انتهت مدة الاتصال؛ لا يمكن الوصول إلى الخوادم		 اسم الخادم لا يستجيب
2 Nameserver لا يستجيب على المنفذ 53

يمكن الوصول إلى خادم الأسماء في كائن المجال

ولكن لا يستجيب على المنفذ 53

dig + norec @ 196.216.2.6 afrinic.net a

؛ << >> DiG 9.8.3-P1 << >> + norec @ 196.216.2.6 afrinic.net أ
. (تم العثور على خادم 1)
؛؛ الخيارات العالمية: + cmd
؛؛ انتهت مدة الاتصال؛ لا يمكن الوصول إلى الخوادم		 اسم الخادم لا يجيب على المنفذ 53
3 Nameserver لا يخدم المجال

يمكن الوصول إلى خادم الأسماء في كائن المجال

يستجيب على المنفذ 53

ولكن لا يجيب على هذا المجال

dig + norec @ ns1.apnic.net afrinic.net. NS

؛ << >> DiG 9.8.3-P1 << >> + norec @ ns1.apnic.net afrinic.net. NS
. (تم العثور على 2 خوادم)
؛؛ الخيارات العالمية: + cmd
؛؛ حصلت على الجواب:
؛؛ - >> HEADER << - كود التشغيل: QUERY، الحالة: رفض، المعرف: 15421
؛؛ أعلام: qr؛ سؤال: 1 ، الإجابة: 0، السلطة: 0 ، إضافية: 0

؛؛ قسم السؤال:
، afrinic.net. في NS

؛؛ وقت الاستعلام: 536 msec
؛؛ الخادم: 2001:dc0:2001:0:4608::25#53(2001:dc0:2001:0:4608::25)
؛؛ متى: الجمعة 3 أكتوبر 11:38:17
؛؛ MSG SIZE rcvd: 29		 اسم الخادم لا يخدم هذا المجال
4 خادم الأسماء غير موثوق به

يمكن الوصول إلى خادم الأسماء في كائن المجال

يستجيب على المنفذ 53

إرجاع استجابة DNS صالحة

لم يتم تعيين بت السلطة (علم 'aa)

dig + norec @ 8.8.8.8 afrinic.net. NS

؛ << >> DiG 9.8.3-P1 << >> + norec @ 8.8.8.8 afrinic.net. NS
. (تم العثور على خادم 1)
؛؛ الخيارات العالمية: + cmd
؛؛ حصلت على الجواب:
؛؛ - >> HEADER << - كود التشغيل: QUERY، الحالة: NOERROR، المعرف: 60812
;; الأعلام: ريال قطري. سؤال: 1 ، الإجابة: 7 ، السلطة: 0 ، الإضافة: 0

؛؛ قسم السؤال:
، afrinic.net. في NS

؛؛ الإجابة القسم:
afrinic.net. 3563 في NS ns2.afrinic.net.
afrinic.net. 3563 في NS sec1.apnic.net.
afrinic.net. 3563 في NS tinnie.arin.net.
afrinic.net. 3563 في NS ns1.afrinic.net.
afrinic.net. 3563 في NS sec1.authdns.ripe.net.
afrinic.net. 3563 في NS sec3.apnic.net.
afrinic.net. 3563 في NS ns2.lacnic.net.

؛؛ وقت الاستعلام: 219 msec
؛؛ الخادم: 8.8.8.8 # 53 (8.8.8.8)
؛؛ متى: الجمعة 3 أكتوبر 11:35:41
؛؛ MSG SIZE rcvd: 192

اسم الخادم ليس حجية للمنطقة

 

الجدول 1. سيناريوهات حالة عرجاء 

أخذنا مجموعة كاملة من المجال العكسي وتشغيل التجربة مقابل كل مجال وخادم الموارد سجل خادم (NS). يمكن أن يكون للمجال سجلات NS متعددة. يُعتبر كل سجل إدخالًا في نظام أسماء النطاقات ، والذي تحقق من صحته.

النوع عدد كائنات المجال عدد سجلات NS
IPv4 29894 72341
IPv6 196 550
المجموع 29986 72891

جدول 2. عناصر المجال AFRINIC

نقوم بتشغيل التجربة من موقعين مختلفين (موريشيوس وجوهانسبرغ). يعتبر التفويض "عرجاء" إذا فشل في كلا الموقعين. لتبسيط تمثيل النتائج ، قررنا تصنيف المجالات في 3 فئات:

الفئة الوصف
CASE_0
  • NS تستجيب
  • يخدم NS المجال
  • NS موثوقة أي علم AA الحالي
CASE_1
  • انتهت مهلة الاتصال
  • الاسم أو الخدمة غير معروفة
  • الاتصال مرفوض
  • شبكة غير قابلة للوصول
  • المضيف غير قابل للوصول إليه
  • نهاية الملف
  • خطأ في الاتصالات
  • لا يمكن الحصول على العنوان
CASE_2
  • حالة الاستجابة مرفوضة أو SERVFAIL
  • لم ترد أي إجابة من الخادم أي الإجابة: 0
CASE_3
  • NS ليست موثوقة

جدول 3. حالة المجال

باستخدام حفر الأمر ، قمنا بتصنيف نتيجة كل وفد موجود في المناطق العكسية العامة لـ AFRINIC ، وفقًا للمعايير في الجدول 3. ولدينا أيضًا حالات فرعية مختلفة مثل CASE_3 يمكن تعليمها على أنها مرفوضة. SERVFAIL أو NXDOMAIN أو NO_ANSWER وفقًا لنوع الخطأ الذي يتم إرجاعه في النتيجة. 

20161019010742

الشكل 1. توزيع خطأ حسب إصدار البروتوكول

بالنسبة إلى 45.5٪ من إدخالات RDNS التي تم العثور عليها كـ "إشكالية" ، فهذا يعني أن أحد سجلات NS على الأقل في كائن المجال هو "LAME". سنقوم بتحليل الكائنات بناءً على سيناريوهات الحالة المختلفة في الجدول 4.

النوع OK % NOK % المجموع
IPv4 39439 54.5 32970 45.5 72409
IPv6 369 68 174 32 543

الجدول 4. النسبة المئوية لسجلات NS عرجاء مقابل عرجاء

خطأ في انهيار لكل نوع المورد

يوضح الجدول 5. توزيع الأخطاء ، أي كيف يمكن تصنيف 45.5٪ من عمليات التفويض العرجاء. لقد لاحظنا أن 75.5٪ هي في الواقع CASE_3 (خوادم سريعة الاستجابة ولا تخدم المنطقة). على الأرجح ، تم إيقاف تشغيل خوادم الأسماء التي تم تسجيلها. 23.5٪ من الأخطاء هي CASE_1 و CASE_2 ، مما يعني أنه لا يمكن الوصول إلى الخوادم.

 النوع  حالة 1  حالة 2 حالة 3 المجموع
 JNB  MRU  JNB MRU JNB MRU  
 IPv4  7933  7674  24965 24918 298 331 32970
 IPv6  18  20  155 155 0 0 174
إجمالي / متوسط 7822 25096 314 33144
متوسط ​​النسبة 23.5% 75.5% 1%  

الجدول 5. توزيع لكل نوع المورد

خطأ في انهيار لكل كتلة العنوان

نلاحظ من الجدول 6 والشكل 4 أن CASE_4 ليست مشكلة حقيقية لأي من كتلة العنوان التي تديرها AFRINIC. ومع ذلك ، نحن نسبة عالية من CASE_3 (أكثر من 40٪) في 197/8 و 154/8 وكذلك في 2001: 4200 :: / 23 IPv6 منع.

عنوان كتلة ليس عرجاء الحالة 0 حالة 1 حالة 2 حالة 3
# % # % # % # %
196/8 6599 47.7 2204 16.0 4953 35.8 91 0.7
197/8 5855 35.4 699 4.2 9908 60.0 58 0.4
154/8 1599 41.0 458 11.7 1821 46.7 25 0.6
41/8 15692 63.1 2850 11.5 6238 25.1 104 0.4
102/8 7 100 0 0 0 0 0 0
105/8 431 43.7 31.9 239 239 24.0 2 0.2
مختلف[*] 9122 74.4 11.0 1753 1753 14.3 33 0.3
2001: 4200 :: / 23 106 52.3 4.5 87 87 43.1 0 0.0
2c00 :: / 12 263 77.1 2.9 68 68 20.0 0 0.0

طاولات ومكاتب  6. انهيار لكل كتلة العنوان

 انهيار الموارد

الشكل 2. خطأ انهيار لكل كتلة العنوان

العمل المستقبلي

تفويض عرجاء ليست سوى مجموعة فرعية من سوء فهم DNS. لضمان التوافر الكامل ، يجب أن تكون خوادم الأسماء زائدة عن الحاجة. بعبارة زائدة عن الحاجة ، نعني أن خوادم الأسماء الأساسية والثانوية يجب أن تنتشر جغرافيًا ولا يمكن العثور عليها على نفس المضيف وبقدر الإمكان ، وليس على نفس الشبكة (أي على ASES مختلفة). في حالة انقطاع التوجيه وعدم توفر شبكة واحدة ، ستظل الشبكة الأخرى قابلة للوصول. وهذا يضمن التكرار الكامل. علاوة على ذلك ، سيكون من المثير للاهتمام معرفة أين يستضيف مشغلو الشبكات الأفريقية خوادم DNS الخاصة بهم. قد يعطينا تعيين الخوادم حسب الموقع إشارة إلى ما إذا كان المشغلون الأفارقة يستخدمون خدمات محلية أو خارجية ، ويمكن الوصول إليها عادة على روابط دولية باهظة الثمن. تعد تبعية المنطقة الدائرية مشكلة أخرى أقل شهرة ولكنها مهمة في معالجتها لأنها تنشئ حلقات تبعية بين خوادم DNS. التأثير هو إضافة تحميل غير ضروري على تلك الخوادم التي تؤثر في النهاية على التوفر على الإجمالي. 

طباعة ودية، بدف والبريد الإلكتروني
آخر تعديل في -