Correção da vulnerabilidade pode reduzir desempenho dos servidores DNS
“Paul Vixie, o cabeça do ISC, responsável pelo desenvolvimento do servidor DNS BIND, admitiu na lista do BIND que os patches contra cache poisoning do seu servidor de nomes pode reduzir o desempenho em sistemas sobre cargas pesadas.
Nos estágios de desenvolvimento e testes, tornou-se evidente que os patches desaceleraram os servidores recursivos com cargas superiores a 10.000 consultas por segundo. Como o tempo urgia, os desenvolvedores decidiram resolver o problema da segurança primeiro, e lidar com a questão do desempenho em uma atualização posterior.” (via heise.de)
Saiba mais (heise.de).
já foi lançado um novo patch pelo ISC, que corrige vários problemas, entre eles, os reportados acima, sobre performance.
E eu sou um dos que encontrei problemas após a atualização do BIND em um servidor DNS de larga escala (RHEL 5.2). Os sintomas foram timeout nas consultas e lentidão excessiva para replicação das zonas para o servidor slave. Evidentemente, um cenário que indicava uma questão de desempenho.
Após reverter a atualização e analisar os logs do BIND, reduzi o número de consultas implementando o DNSCache nos servidores locais. Estes servidores realizavam as consultas recursivas, responsáveis por 30% do total de consultas no servidor.
Feito isso, atualizei novamente o BIND e, por enquanto, não houve mais problemas.
Servidores DNS apenas para cache podem trazer problemas em situações bem específicas, mas em servidores que realizam um grande número de consultas irá economizar carga nos servidores DNS e, principalmente, aumentar o desempenho das aplicações que dependem dessas consultas.
Concordo com o Heitor, tenho usado o djbdns para servidor de cache a tempo. a performance é muito boa, e a configuração é muito simples.
para o bind, fizeram certo em primeiro corrigir o bug. já que era critico.
Tradução do que o tal “rowdy” disse ali acima para o bom português brasileiro e sem anglicismos desnecessários:
“Já foi lançado um novo remendo pelo ISC que corrige vários problemas; entre eles, os relatados acima, de desempenho.”
Falar português não é tão difícil, mas parece que ninguém mais se interessa por isso… Tsc.
Para ser mais exato, de acordo com a referência, uma versão beta do patch, chamado P2, já está disponível para o BIND 9.4.3 e BIND 9.5.1. As versões finais 9.3.5-P2, 9.4.2-P2 e 9.5.0-P2, deverão estar disponíveis no final desta semana.
Portanto, para quem gerencia suas atualizações através de pacotes, a nova versão do BIND provavelmente estará presente nos repositórios a partir da próxima semana.
Enquanto isso, quem utiliza dns de terceiros deveria considerar usar o opendns.
Acabei de testar o dns fornecido pela telefonica em conexões adsl e ele está vulnerável.
200.204.0.10 – vulneravel
o outro dns (200.204.0.138) passou nos testes.
mas o interessante é que o site que testa o dns informado mas sempre com outro(s) ip’s. Ou seja, não confio na telefonica…
dig +short porttest.dns-oarc.net TXT
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
“200.XXX.XXX.XXX is GREAT: 32 queries in 57.7 seconds from 32 ports with std dev 5625″
Quando o resultado é GREAT… oque significa?
significa q o seu servidor esta ok. nao sofre do bug.
Alguém sabe se servidores baseados no maraDNS são afetados pela falha de segurança?