DNS एक रिकॉर्ड के लिए IP की अधिकतम संख्या क्या हो सकती है?

मेरे पास एक अजीब विचार है - कई लोगों / संगठनों को एक ही एप्लिकेशन को होस्ट करने दें, और एक ही डोमेन नाम के माध्यम से उनके सभी नोड्स को एक्सेस करने दें। ऐसा कहने के लिए, आइए, वास्तव में वितरित सामाजिक नेटवर्क, जहां प्रयोज्य का त्याग नहीं किया जाता है (यानी उपयोगकर्ताओं को अलग-अलग प्रदाता के यूआरएल को याद नहीं करना पड़ता है और फिर जब एक प्रदाता नीचे जाता है, तो दूसरे पर स्विच करें)

इसे प्राप्त करने के लिए, मुझे लगा कि कई IP के साथ DNS रिकॉर्ड का उपयोग किया जा सकता है।

तो, एक एकल DNS रिकॉर्ड रिकॉर्ड में कितने IP हो सकते हैं? यह उत्तर कहता है कि यह 30 के आस-पास है, लेकिन वहां का usecase अलग है। ऊपर के परिदृश्य के लिए मुझे परवाह नहीं है अगर एक दिए गए आईएसपी केवल 30 तक कैश करता है, जब तक कि एक और आईएसपी एक और 30 कैश, और इसी तरह।

अस्वीकरण: कोई अपराध नहीं है, लेकिन यह वास्तव में एक बुरा विचार है। मैं यह अनुशंसा नहीं करता कि कोई भी वास्तविक जीवन में ऐसा करे।

लेकिन अगर आप एक ऊब आईटी आदमी को एक प्रयोगशाला देते हैं, तो अजीब चीजें होंगी!

इस प्रयोग के लिए, मैंने सर्वर 2012 R2 पर चलने वाले Microsoft DNS सर्वर का उपयोग किया। सक्रिय निर्देशिका में DNS ज़ोन की मेजबानी करने की जटिलताओं के कारण, मैंने एक नया प्राथमिक क्षेत्र बनाया जिसका नाम टेस्टिंग डॉट कॉम है, जो AD- एकीकृत नहीं है।

इस स्क्रिप्ट का उपयोग करना:

$Count = 1
for ($x = 1; $x -lt 256; $x++)
{
    for ($y = 1; $y -lt 256; $y++)
    {
        for ($z = 1; $z -lt 256; $z++)
        {
            Write-Host "1.$x.$y.$z`t( $Count )"
            $Count++
            dnscmd . /RecordAdd testing.com testing A 1.$x.$y.$z
        }
    }
}

मैं त्रुटि के बिना, नाम के लिए 65025 मेजबान रिकॉर्ड बनाने के testing.testing.com.लिए आगे बढ़ा, 1.1.1.1 से 1.1.255.255 तक शाब्दिक रूप से प्रत्येक आईपीवी 4 पता।

फिर, मैं यह सुनिश्चित करना चाहता था कि मैं त्रुटि के बिना 65536 (2 ^ 16 बिट) ए रिकॉर्ड की कुल संख्या के माध्यम से तोड़ सकता हूं, और मैं ऐसा कर सकता हूं, इसलिए मुझे लगता है कि मैं संभवतः सभी तरह से 16581375 (1.1.1.1 से 1.255) तक जा सकता था .255.255,) लेकिन मैं यहां बैठना नहीं चाहता था और इस स्क्रिप्ट को पूरी रात चलाता था।

इसलिए मुझे लगता है कि यह कहना सुरक्षित है कि ए रिकॉर्ड की संख्या के लिए कोई व्यावहारिक सीमा नहीं है जिसे आप अपने सर्वर पर अलग-अलग आईपी के साथ एक ही नाम के लिए एक ज़ोन में जोड़ सकते हैं।

लेकिन क्या यह वास्तव में ग्राहक के दृष्टिकोण से काम करेगा ?

यहाँ पर मुझे अपने ग्राहक से जैसा कि तारक द्वारा देखा गया है:

(पूर्ण आकार के लिए एक नए ब्राउज़र टैब में छवि खोलें।)

जैसा कि आप देख सकते हैं, जब मैं अपने क्लाइंट से nslookup या पिंग का उपयोग करता हूं, तो यह स्वचालित रूप से दो क्वेरीज़ जारी करता है - एक यूडीपी और एक टीसीपी। जैसा कि आप पहले से ही जानते हैं, सबसे अधिक मैं एक यूडीपी डेटाग्राम में रटना कर सकता है 512 बाइट्स, इसलिए एक बार जब यह सीमा पार हो जाती है (जैसे 20-30 आईपी पते), तो इसके बजाय टीसीपी का उपयोग करना चाहिए। लेकिन टीसीपी के साथ भी, मुझे केवल परीक्षण के लिए A रिकॉर्ड्स का एक बहुत छोटा सा उप-भाग मिल रहा है। टीसीपी क्वेरी के अनुसार 1000 रिकॉर्ड वापस किए गए। ए रिकॉर्ड्स की सूची प्रत्येक क्रमिक क्वेरी के साथ 1 से ठीक से घूमती है, ठीक उसी तरह जैसे आप राउंड-रॉबिन डीएनएस से कैसे काम करने की उम्मीद करेंगे। इन सभी के माध्यम से राउंड रॉबिन के लिए लाखों प्रश्नों को लिया जाएगा।

मैं यह नहीं देखता कि यह कैसे आपके बड़े पैमाने पर स्केलेबल, लचीला सोशल मीडिया नेटवर्क बनाने में आपकी मदद करने जा रहा है, लेकिन फिर भी आपका जवाब है।

संपादित करें: आपकी अनुवर्ती टिप्पणी में, आप पूछते हैं कि मुझे क्यों लगता है कि यह आमतौर पर एक बुरा विचार है।

• मान लीजिए कि मैं एक औसत इंटरनेट उपयोगकर्ता हूं, और मैं आपकी सेवा से जुड़ना चाहूंगा। मैं अपने वेब ब्राउजर में www.bozho.biz टाइप करता हूं। मेरे कंप्यूटर पर DNS क्लाइंट को 1000 रिकॉर्ड वापस मिल जाते हैं। खैर, बुरी किस्मत, सूची में पहले 30 रिकॉर्ड गैर-उत्तरदायी हैं क्योंकि ए रिकॉर्ड की सूची को अद्यतित नहीं रखा गया है, या हो सकता है कि इंटरनेट का एक हिस्सा प्रभावित करने वाले बड़े पैमाने पर आउटेज हो। मान लीजिए कि मेरे वेब ब्राउजर के चालू होने से पहले 5 सेकंड प्रति आईपी का टाइम-आउट है और अगले की कोशिश करता है। इसलिए अब मैं यहां 2 घंटे के लिए एक कताई घंटे पर घूर कर बैठा हूं और आपकी साइट के लोड होने का इंतजार कर रहा हूं। उसके लिए किसी को भी समय नहीं मिला। और मैं केवल यह मान रहा हूं कि आपकी सेवा तक पहुँचने के लिए मेरा वेब ब्राउज़र या जो भी एप्लिकेशन मैं उपयोग करता हूं, वह पहले 4 या 5 आईपी पतों की तुलना में अधिक प्रयास करने वाला है। यह शायद नहीं होगा।

• यदि आपने स्वचालित स्केवेंजिंग का उपयोग किया है और ए रिकॉर्ड्स की सूची को ताज़ा रखने की उम्मीद में डीएनएस क्षेत्र में गैर-वैध या अनाम अपडेट की अनुमति देते हैं ... बस कल्पना करें कि यह कितना असुरक्षित होगा! यहां तक ​​कि अगर आपने कुछ सिस्टम को इंजीनियर किया है, जहां क्लाइंट को क्लाइंट टीएलएस प्रमाणपत्र की आवश्यकता होती है, जो कि जोन को अपडेट करने के लिए आपको पहले से मिला है, तो ग्रह पर कहीं भी एक समझौता किया हुआ ग्राहक बॉटनेट शुरू करने और आपकी सेवा को नष्ट करने वाला है। पारंपरिक DNS अनिश्चित रूप से असुरक्षित है क्योंकि यह भीड़-सोर्सिंग के बिना है।

• Humongous बैंडविड्थ का उपयोग और अपशिष्ट। यदि प्रत्येक DNS क्वेरी में 32 किलोबाइट या अधिक बैंडविड्थ की आवश्यकता होती है, तो यह बिल्कुल भी अच्छा नहीं होगा।

• डीएनएस राउंड-रॉबिन उचित लोड संतुलन के लिए कोई विकल्प नहीं है। यह एक नोड के नीचे जाने या चीजों के बीच में अनुपलब्ध होने से उबरने का कोई रास्ता नहीं प्रदान करता है। क्या आप अपने उपयोगकर्ताओं को एक ipconfig / flushdns करने के लिए निर्देश देने जा रहे हैं यदि नोड वे नीचे जाने के लिए जुड़े थे? इस तरह के मुद्दों को पहले ही जीएसएलबी और एनीकास्ट जैसी चीजों से हल किया जा चुका है।

• आदि।

प्रश्न का उत्तर देने के लिए जैसा कि कहा गया था ("एक एकल DNS रिकॉर्ड कितने IPs पकड़ सकता है?") उत्तर बहुत सरल है: एक एकल Aरिकॉर्ड ठीक एक पता रखता है। हालांकि Aएक ही नाम के कई रिकॉर्ड हो सकते हैं ।

प्रत्येक IPv4 पता उत्तर में 16 बाइट्स लेगा। प्रत्येक IPv6 पता उत्तर में 28 बाइट्स लेगा।

यह दृढ़ता से अनुशंसा की जाती है कि आप सुनिश्चित करें कि उत्तर 512 बाइट्स में फिट होगा। यह लगभग 25 IPv4 पतों और 14 IPv6 पतों के लिए अनुमति देगा (यह देखते हुए कि आपको पैकेट में कुछ अन्य जानकारी की आवश्यकता है)। सटीक सीमा आपके डोमेन नाम की लंबाई पर निर्भर करती है।

यदि आपके पास 25 आईपीवी 4 पते और 14 आईपीवी 6 पते हैं, तो आप अलग-अलग प्रश्नों में आईपीवी 4 और आईपीवी 6 पतों के लिए अनुरोध करने वाले ग्राहकों पर भरोसा कर रहे हैं। क्या क्लाइंट को एक ही क्वेरी में (जो दुर्लभ है) दोनों प्रकार के पते के लिए पूछना चाहिए, फिर आपको कम जाना होगा।

यदि रिप्लाई साइज 512 बाइट्स से अधिक है, तो यह अभी भी यूडीपी पर काम कर सकता है यदि क्लाइंट और सर्वर ईडीएनएस का समर्थन करते हैं। EDNS के बिना, ग्राहक को एक काट दिया गया उत्तर प्राप्त होगा, और उसे टीसीपी पर पुनः प्रयास करना होगा। इससे संचार 1 से 4 राउंडट्रीप तक बढ़ जाता है। लेकिन इससे भी बदतर, कभी-कभी गलत गलतफहमी होती है जो DNS को टीसीपी पर काम करने से रोकती है।

भले ही आप DNS लेयर में समस्या उत्पन्न किए बिना 14 से अधिक पतों को उत्तर में निचोड़ सकते हों, लेकिन यह बहुत उपयोगी होने की संभावना नहीं है। क्लाइंट द्वारा एक पते पर देने से पहले और अगले के लिए आगे बढ़ने के समय का उपयोग अक्सर महत्वपूर्ण होता है।

उस समय समाप्ति की प्रतीक्षा करने के बाद भी एक बार उपयोगकर्ता अनुभव खराब हो सकता है। यदि ग्राहक को प्रतिक्रिया प्राप्त करने से पहले 14 पते से गुजरना पड़ता है, तो उपयोगकर्ता को 13 समय समाप्ति की प्रतीक्षा करनी होगी।

आप जो वर्णन कर रहे हैं वह विशेष रूप से नया विचार नहीं है। जैसा कि अन्य उत्तर पहले ही कवर कर चुके हैं, आप एक उत्तर में कितने ए रिकॉर्ड में सीमित हो सकते हैं, लेकिन यह इस बारे में कुछ भी नहीं कहता है कि कुल कितने ए रिकॉर्ड हो सकते हैं।

उदाहरण के लिए, आप एक DNS सर्वर को लागू कर सकते हैं जो एक यादृच्छिक आईपी के साथ ए रिकॉर्ड के लिए किसी भी प्रश्न का उत्तर देता है। पर्याप्त बार, यह 4294967296 अद्वितीय ए रिकॉर्ड में परिणाम होगा: प्रत्येक IPv4 पते के लिए एक।

जैसा कि मैंने कहा, यह एक नया विचार नहीं है। वास्तव में, यह भाग में है कि अकामाई कैसे काम करती है (और शायद बहुत सारे अन्य सीडीएन)। किसी भी Akamai डोमेन के लिए आपको मिलने वाला रिकॉर्ड उनके काले-जादू DNS सर्वर द्वारा निर्धारित किया जाता है। मुझे लगता है कि आपको जो जवाब मिलता है वह गतिशील भार संतुलन और भौगोलिक चिंताओं पर निर्भर करता है।

उदाहरण के लिए, मैंने a338.g.akamaitech.net चुना। अगर मैं अभी अपने कंप्यूटर पर इसे देखता हूं, जो Comcast से एक DHCP असाइन किए गए नेमसर्वर का उपयोग करता है:

$ host a338.g.akamaitech.net
a338.g.akamaitech.net has address 23.3.98.65
a338.g.akamaitech.net has address 23.3.98.89

अगर मैं Google का DNS पूछूं तो क्या होगा?

$ host a338.g.akamaitech.net 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

a338.g.akamaitech.net has address 23.3.96.152
a338.g.akamaitech.net has address 23.3.96.120

मैं शर्त लगाता हूं कि अगर आप इसे आजमाते हैं, तो मुझे यकीन है कि आपको एक अलग जवाब मिलेगा। अकामाई के पास किसी विशेष संसाधन की कितनी धार है? दो से अधिक, मैं शर्त लगाता हूं।

दूसरों ने इसे विस्तार के रूप में उल्लेख किया है, लेकिन व्यावहारिक दृष्टिकोण से, हार्ड सीमा 512 बाइट्स के यूडीपी पैकेट आकार की सीमा है। हालांकि ट्रंकेशन का पता लगने पर टीसीपी पर स्विच करना संभव है, व्यवहार में कई / अधिकांश ग्राहक ऐसा नहीं करेंगे (संभवतः वे नहीं करना चाहिए; यह अधिकांश अनुप्रयोगों के लिए खराब उपयोगकर्ता अनुभव देगा, और मुझे केवल क्षेत्र-स्थानांतरण या अन्य की उम्मीद होगी विशेष- TCP को समर्थन देने के उद्देश्य से) इसलिए आप IPv4 (A रिकॉर्ड्स) के लिए लगभग 30 पतों की सीमा देख रहे हैं और IPv6 (AAAA) के लिए कुछ हद तक कम हैं क्योंकि वे बड़े हैं। डोमेन नाम की लंबाई इसमें कटौती करती है और आगे की संख्या को सीमित करेगी।

संक्षिप्त उत्तर: लगभग 25 A रिकॉर्ड्स UDP पैकेट में फिट होते हैं। इसके अलावा, DNS टीसीपी में बदल जाएगा और यह उतना तेज़ नहीं होगा। आपको उन क्लाइंट के साथ भी समस्याएँ होंगी, जो "निकटतम" IP को चुनने में सक्षम DNS रिज़ॉल्वर का उपयोग नहीं कर रहे हैं। इसके अलावा, वाईफाई और मोबाइल के साथ, "निकटतम" अक्सर सही सर्वर नहीं होता है।

दीर्घ उत्तर:

ऐसा मत करो। एक बेहतर तरीका यह होगा कि प्रत्येक उपयोगकर्ता के लिए अलग-अलग CNAME रिकॉर्ड स्थापित किए जाएँ जो उपयुक्त सर्वर की ओर इशारा करते हैं। मान लें कि आपके पास दो सर्वर हैं, server-fऔर server-rIMAP के लिए उपयोग किया जाता है। प्रत्येक व्यक्ति के IMAP क्लाइंट को सर्वरनाम के साथ USERNAME.imap.example.com कॉन्फ़िगर करें जहां "USERNAME" को उनके ईमेल उपयोगकर्ता नाम से बदल दिया जाता है। अब आप अपने ईमेल क्लाइंट को फिर से कॉन्फ़िगर किए बिना सर्वर के बीच लोगों को स्थानांतरित कर सकते हैं।

server-f.example.com. IN A 10.10.10.10 server-r.example.com. IN A 10.20.20.20 wilma.imap.example.com. IN CNAME server-f.example.com. fred.imap.example.com. IN CNAME server-f.example.com. betty.imap.example.com. IN CNAME server-r.example.com. barney.imap.example.com. IN CNAME server-r.example.com.

हालाँकि, यदि आप ऐसा करते हैं, तो मैं अत्यधिक सूचना देता हूं कि आप उपयोगकर्ताओं के डेटाबेस से स्वचालित रूप से DNS रिकॉर्ड उत्पन्न करते हैं। आप यह सुनिश्चित करना चाहते हैं कि जैसे खाते बनाए जाते हैं और हटाए जाते हैं वैसे ही DNS रिकॉर्ड बनाए जाते हैं और हटाए भी जाते हैं। अन्यथा आप एक गड़बड़ और बहुत भ्रम के साथ समाप्त होंगे।

मैंने इसे हजारों उपयोगकर्ताओं के साथ कंपनियों में देखा है और चूंकि चीजें स्वचालित थीं, इसलिए यह बहुत अच्छी तरह से दुनिया में है।

जैसा कि दूसरों ने बताया है, यह वास्तविक दुनिया के उपयोग के लिए एक भयानक विचार है।

वास्तविक दुनिया में गैर-ग्राहक और रिसॉल्वर्स हैं जो उन प्रतिक्रियाओं से परेशान हैं जो एक एकल यूडीपी डेटाग्राम में फिट नहीं हो सकते हैं, और फ़ायरवॉल हैं जो DNS संदेश आकार सीमाओं के बारे में विशिष्ट लेकिन प्रोटोकॉल-अनुरूप विचारों को लागू नहीं करेंगे।

और यहां तक ​​कि अगर आप हर मामले में अपनी भारी प्रतिक्रिया पर भरोसा कर सकते हैं (जो आप सशक्त रूप से नहीं कर सकते हैं) तो एक और कारण है कि यह एक बहुत ही महत्वपूर्ण विचार है। आपके DNS प्रतिसाद का आकार जितना बड़ा होता है, उतना ही अधिक आकर्षक यह प्रतिबिंब हमलों के लिए पेलोड के रूप में होता है क्योंकि आप एक विशाल प्रवर्धन कारक प्रदान करते हैं। इस प्रकार के इनकार-ऑफ़-सर्विस हमले में, जो DNS में आम है, एक यूडीपी क्वेरी को एक खुला पुनरावर्ती रोलओवर भेजा जाता है। यूडीपी प्रश्नों के स्रोत का पता आमतौर पर आसानी से खराब हो जाता है, और हमलावर क्वेरी स्रोत को उनके इच्छित लक्ष्य के आईपी पर सेट करता है। दो वांछनीय (हमलावर के लिए) प्रभाव प्राप्त किए जाते हैं: पहला - उनके हिस्से पर एक अपेक्षाकृत छोटा भेजने का प्रयास (एक छोटी स्पूफ की गई क्वेरी से) लक्ष्य पर पहुंचने वाले अवांछित यातायात की तुलनात्मक रूप से बड़ी धार में होता है (यह प्रवर्धन कारक है,) और दूसरा - हमले का वास्तविक स्रोत लक्ष्य से छिपा हुआ है; लक्ष्य केवल पुनरावर्ती रिसोल्वर के पते को परावर्तक के रूप में उपयोग किए जाने के बारे में जानता है।

इस विषय पर ऐतिहासिक सामान्य ज्ञान का दिलचस्प बिंदु। 90 के दशक में, AOL ने अपने DNS रिकॉर्ड्स का विस्तार किया जैसे कि एक MX क्वेरी> 512 बाइट्स देता है। इसने RFC का उल्लंघन किया, बहुत सारे SMTP सर्वर (उस समय एक लोकप्रिय हुआ जा रहा qmail) को तोड़ दिया, और sysadmins के कारण बहुत अधिक सिरदर्द हो गया। फिक्स्ड पैचिंग या स्थैतिक मार्गों को जोड़ने की आवश्यकता है ।

मुझे नहीं पता कि वर्तमान स्थिति क्या है, लेकिन कुछ साल पहले, जब मैंने आखिरी बार क्यूमेल को छुआ था, तब भी पैच की जगह थी।

http://www.gossamer-threads.com/lists/qmail/users/30503