SlideShare a Scribd company logo

AS112 @ ITgate Network

Marco d'Itri
Marco d'Itri

esperimenti di DNS anycast

Internet
1 of 20
Download to read offline
AS112 @ ITgate Network Esperimenti di DNS anycast Marco d’Itri md@linux.it ITgate Network Italian Linux Society AS112 – p. 1/2
Cosa è AS112? fornisce il reverse mapping per le reti private (RFC1918) e link local: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 delegate a server in 192.175.48.0/24 rete annunciata da AS112 AS112 – p. 2/2
Anycast Si definisce anycast la comunicazione tra un mittente e il più vicino di un gruppo di diversi destinatari (in contrapposizione a multicast e broadcast). Caratteristiche: semplice uso di BGP normali indirizzi IP limitato a UDP, o quasi AS112 – p. 3/2
Anycast (2) Servizi anycast più noti: 192.175.48.0/24 (AS112) 192.88.99.1/24 (relay 6to4, RFC3068) [fk].root-servers.net (solo in alcuni IX) secondary.com . . . AS112 – p. 4/2
A cosa serve? A ridurre il carico sui root server causato da sistemi operativi buggati e configurazioni errate. la zona .arpa è delegata ai root server non è un servizio critico è una prova generale per la root, aspettando DNSSEC. . . AS112 – p. 5/2
Come si usa? Accettando l’annuncio di 192.175.48.0/24 da parte di AS112. Usate una istanza vicina al vostro sito! Per verificare quale server di AS112 si sta usando: dig hostname.as112.net any AS112 – p. 6/2
Chi lo usa? Annunciato da inizio marzo: MIX TOPIX Assenti notevoli: GARR (usa NETNOD, via GEANT) Interbusiness (usa Port80, via Tiscali al MIX) AS112 – p. 7/2
Come è fatto BIND 9.2.2 Zebra perl Debian GNU/Linux AS112 – p. 8/2
Zebra router bgp 112 bgp router-id 213.254.1.50 network 192.175.48.0/24 neighbor 213.254.1.1 remote-as 12779 AS112 – p. 9/2
Le zone 10.in-addr.arpa. SOA prisoner.iana.org. ... NS blackhole-1.iana.org. NS blackhole-2.iana.org. $ORIGIN .iana.org. prisoner A 192.175.48.1 blackhole-1 A 192.175.48.6 blackhole-2 A 192.175.48.42 AS112 – p. 10/2
Tipi di query 3168203 TKEY (TCP, 9 pacchetti) 1500109 SOA 1405254 PTR 28292 A (prisoner.iana.org) 1439 CNAME (per PTR) 790 NS 110 ANY 8 MX 3 TXT 1 KEY AS112 – p. 11/2
Traffico Figura 1: 9 aprile 2003 AS112 – p. 12/2
Traffico (2) Figura 2: 9 aprile 2003 AS112 – p. 13/2
Principali sorgenti 1240940 3303 Swisscom Enterprise Sol. 1207474 4589 Easynet Group Plc 409929 8968 Albacom 385900 1267 Infostrada S.p.A. 379938 3313 I.NET S.p.A. 189768 8760 Nevada tele.com 166631 12874 Fastweb 124160 5396 MC-link Spa 110934 15589 Edisontel S.p.A. 106795 12761 COLT Internet Italy 98048 5394 Cable & Wireless Italy AS112 – p. 14/2
Sorgenti locali 166631 12874 Fastweb 106795 12761 COLT Internet Italy 89449 12797 Atlanet 39654 12734 Fiat Group 25422 21375 NOICOM 20264 2594 CSI Piemonte 9475 13286 Opennet 7132 13113 ReteItaly 6662 12779 ITGATE.Net 4921 8980 Club Nautilus S.p.A. AS112 – p. 15/2
Principali sorgenti 113802 ns1.ip-plus.net 106806 richelieu.ns.easynet.net 99936 151.8.97.34 (bbtlc.it) 83915 217.220.127.4 (DSL albacom) 81239 195.218.107.114 (nevadatele.com) . . . 57629 hal-5.inet.it 57597 hal-4.inet.it 54057 gw-nova.dsnet.it 37822 ns.its.it AS112 – p. 16/2
Principale colpevole Windows XP e Windows 2000 timeout ogni 5, 10 e 60 minuti flood a mezzanotte per dettagli: articolo KB Q246804 le cache dovrebbero assorbire le query! I siti che ho contattato non rispondono o sono reticenti. AS112 – p. 17/2
Query strane flood della stessa. Colpa di firewall unidirezionali? UDP: bad checksum. From 213.21.150.34:721 ... 10 q/d da 193.42.233.75 (INTESA-NET) query da indirizzi RFC1918 Morale: controllate i vostri filtri! ip verify unicast source reachable-via any AS112 – p. 18/2
Il futuro draft-kato-dnsop-local-zones-00.txt (Kato/Vixie, WIP) NSD grafici interessanti altre statistiche (Idee? Codice?) . . . AS112 – p. 19/2
Domande? http://www.linux.it/%7emd/text/as112.pdf (google . . . Marco d’Itri . . . I feel lucky) AS112 – p. 20/2

Recommended

SOFREL FR4000
SOFREL FR4000 SOFREL FR4000
SOFREL FR4000 LACROIX Sofrel Srl
 
F Temi D Esame
F Temi D EsameF Temi D Esame
F Temi D Esameacapone
 
Multicast IPv6
Multicast IPv6Multicast IPv6
Multicast IPv6Marco d'Itri
 
Reti Locali
Reti LocaliReti Locali
Reti LocaliVincenzo Calabrò
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
09nat
09nat09nat
09natmrlocchoc
 
Internetworking
InternetworkingInternetworking
InternetworkingVincenzo Calabrò
 
Portfolio SELTA per le Reti di Accesso 2018
Portfolio SELTA per le Reti di Accesso 2018Portfolio SELTA per le Reti di Accesso 2018
Portfolio SELTA per le Reti di Accesso 2018SELTA
 

Recommended

SOFREL FR4000
SOFREL FR4000 SOFREL FR4000
SOFREL FR4000 LACROIX Sofrel Srl
 
F Temi D Esame
F Temi D EsameF Temi D Esame
F Temi D Esameacapone
 
Multicast IPv6
Multicast IPv6Multicast IPv6
Multicast IPv6Marco d'Itri
 
Reti Locali
Reti LocaliReti Locali
Reti LocaliVincenzo Calabrò
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
09nat
09nat09nat
09natmrlocchoc
 
Internetworking
InternetworkingInternetworking
InternetworkingVincenzo Calabrò
 
Portfolio SELTA per le Reti di Accesso 2018
Portfolio SELTA per le Reti di Accesso 2018Portfolio SELTA per le Reti di Accesso 2018
Portfolio SELTA per le Reti di Accesso 2018SELTA
 
Exploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTExploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTMarco d'Itri
 
BGP security at internet exchanges
BGP security at internet exchangesBGP security at internet exchanges
BGP security at internet exchangesMarco d'Itri
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) ThingsMarco d'Itri
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPMarco d'Itri
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peeringMarco d'Itri
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) ThingsMarco d'Itri
 
State-encouraged BGP hijacking
State-encouraged BGP hijackingState-encouraged BGP hijacking
State-encouraged BGP hijackingMarco d'Itri
 
Sicurezza di BGP
Sicurezza di BGPSicurezza di BGP
Sicurezza di BGPMarco d'Itri
 
Un mistero di censura all'italiana
Un mistero di censura all'italianaUn mistero di censura all'italiana
Un mistero di censura all'italianaMarco d'Itri
 
Interconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeInterconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeMarco d'Itri
 
An introduction to peering in Italy
An introduction to peering in ItalyAn introduction to peering in Italy
An introduction to peering in ItalyMarco d'Itri
 
Peering e depeering
Peering e depeeringPeering e depeering
Peering e depeeringMarco d'Itri
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peeringMarco d'Itri
 
Depeering di Telecom Italia
Depeering di Telecom ItaliaDepeering di Telecom Italia
Depeering di Telecom ItaliaMarco d'Itri
 
RPSL and rpsltool
RPSL and rpsltoolRPSL and rpsltool
RPSL and rpsltoolMarco d'Itri
 
Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Marco d'Itri
 
Il nuovo Bryar.pm
Il nuovo Bryar.pmIl nuovo Bryar.pm
Il nuovo Bryar.pmMarco d'Itri
 
Transizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioTransizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioMarco d'Itri
 
Networking in ambienti cloud
Networking in ambienti cloudNetworking in ambienti cloud
Networking in ambienti cloudMarco d'Itri
 
DNSSEC - una breve introduzione
DNSSEC - una breve introduzioneDNSSEC - una breve introduzione
DNSSEC - una breve introduzioneMarco d'Itri
 

More Related Content

More from Marco d'Itri

Exploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTExploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTMarco d'Itri
 
BGP security at internet exchanges
BGP security at internet exchangesBGP security at internet exchanges
BGP security at internet exchangesMarco d'Itri
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) ThingsMarco d'Itri
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPMarco d'Itri
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peeringMarco d'Itri
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) ThingsMarco d'Itri
 
State-encouraged BGP hijacking
State-encouraged BGP hijackingState-encouraged BGP hijacking
State-encouraged BGP hijackingMarco d'Itri
 
Un mistero di censura all'italiana
Un mistero di censura all'italianaUn mistero di censura all'italiana
Un mistero di censura all'italianaMarco d'Itri
 
Interconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeInterconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeMarco d'Itri
 
An introduction to peering in Italy
An introduction to peering in ItalyAn introduction to peering in Italy
An introduction to peering in ItalyMarco d'Itri
 
Peering e depeering
Peering e depeeringPeering e depeering
Peering e depeeringMarco d'Itri
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peeringMarco d'Itri
 
Depeering di Telecom Italia
Depeering di Telecom ItaliaDepeering di Telecom Italia
Depeering di Telecom ItaliaMarco d'Itri
 
Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Marco d'Itri
 
Transizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioTransizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioMarco d'Itri
 
Networking in ambienti cloud
Networking in ambienti cloudNetworking in ambienti cloud
Networking in ambienti cloudMarco d'Itri
 
DNSSEC - una breve introduzione
DNSSEC - una breve introduzioneDNSSEC - una breve introduzione
DNSSEC - una breve introduzioneMarco d'Itri
 

More from Marco d'Itri (20)

Exploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTExploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONT
 
BGP security at internet exchanges
BGP security at internet exchangesBGP security at internet exchanges
BGP security at internet exchanges
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) Things
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGP
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peering
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) Things
 
State-encouraged BGP hijacking
State-encouraged BGP hijackingState-encouraged BGP hijacking
State-encouraged BGP hijacking
 
Sicurezza di BGP
Sicurezza di BGPSicurezza di BGP
Sicurezza di BGP
 
Un mistero di censura all'italiana
Un mistero di censura all'italianaUn mistero di censura all'italiana
Un mistero di censura all'italiana
 
Interconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeInterconnessioni tra le reti Italiane
Interconnessioni tra le reti Italiane
 
An introduction to peering in Italy
An introduction to peering in ItalyAn introduction to peering in Italy
An introduction to peering in Italy
 
Peering e depeering
Peering e depeeringPeering e depeering
Peering e depeering
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peering
 
Depeering di Telecom Italia
Depeering di Telecom ItaliaDepeering di Telecom Italia
Depeering di Telecom Italia
 
RPSL and rpsltool
RPSL and rpsltoolRPSL and rpsltool
RPSL and rpsltool
 
Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6
 
Il nuovo Bryar.pm
Il nuovo Bryar.pmIl nuovo Bryar.pm
Il nuovo Bryar.pm
 
Transizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioTransizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo io
 
Networking in ambienti cloud
Networking in ambienti cloudNetworking in ambienti cloud
Networking in ambienti cloud
 
DNSSEC - una breve introduzione
DNSSEC - una breve introduzioneDNSSEC - una breve introduzione
DNSSEC - una breve introduzione
 

AS112 @ ITgate Network

  • 1. AS112 @ ITgate Network Esperimenti di DNS anycast Marco d’Itri md@linux.it ITgate Network Italian Linux Society AS112 – p. 1/2
  • 2. Cosa è AS112? fornisce il reverse mapping per le reti private (RFC1918) e link local: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 delegate a server in 192.175.48.0/24 rete annunciata da AS112 AS112 – p. 2/2
  • 3. Anycast Si definisce anycast la comunicazione tra un mittente e il più vicino di un gruppo di diversi destinatari (in contrapposizione a multicast e broadcast). Caratteristiche: semplice uso di BGP normali indirizzi IP limitato a UDP, o quasi AS112 – p. 3/2
  • 4. Anycast (2) Servizi anycast più noti: 192.175.48.0/24 (AS112) 192.88.99.1/24 (relay 6to4, RFC3068) [fk].root-servers.net (solo in alcuni IX) secondary.com . . . AS112 – p. 4/2
  • 5. A cosa serve? A ridurre il carico sui root server causato da sistemi operativi buggati e configurazioni errate. la zona .arpa è delegata ai root server non è un servizio critico è una prova generale per la root, aspettando DNSSEC. . . AS112 – p. 5/2
  • 6. Come si usa? Accettando l’annuncio di 192.175.48.0/24 da parte di AS112. Usate una istanza vicina al vostro sito! Per verificare quale server di AS112 si sta usando: dig hostname.as112.net any AS112 – p. 6/2
  • 7. Chi lo usa? Annunciato da inizio marzo: MIX TOPIX Assenti notevoli: GARR (usa NETNOD, via GEANT) Interbusiness (usa Port80, via Tiscali al MIX) AS112 – p. 7/2
  • 8. Come è fatto BIND 9.2.2 Zebra perl Debian GNU/Linux AS112 – p. 8/2
  • 9. Zebra router bgp 112 bgp router-id 213.254.1.50 network 192.175.48.0/24 neighbor 213.254.1.1 remote-as 12779 AS112 – p. 9/2
  • 10. Le zone 10.in-addr.arpa. SOA prisoner.iana.org. ... NS blackhole-1.iana.org. NS blackhole-2.iana.org. $ORIGIN .iana.org. prisoner A 192.175.48.1 blackhole-1 A 192.175.48.6 blackhole-2 A 192.175.48.42 AS112 – p. 10/2
  • 11. Tipi di query 3168203 TKEY (TCP, 9 pacchetti) 1500109 SOA 1405254 PTR 28292 A (prisoner.iana.org) 1439 CNAME (per PTR) 790 NS 110 ANY 8 MX 3 TXT 1 KEY AS112 – p. 11/2
  • 12. Traffico Figura 1: 9 aprile 2003 AS112 – p. 12/2
  • 13. Traffico (2) Figura 2: 9 aprile 2003 AS112 – p. 13/2
  • 14. Principali sorgenti 1240940 3303 Swisscom Enterprise Sol. 1207474 4589 Easynet Group Plc 409929 8968 Albacom 385900 1267 Infostrada S.p.A. 379938 3313 I.NET S.p.A. 189768 8760 Nevada tele.com 166631 12874 Fastweb 124160 5396 MC-link Spa 110934 15589 Edisontel S.p.A. 106795 12761 COLT Internet Italy 98048 5394 Cable & Wireless Italy AS112 – p. 14/2
  • 15. Sorgenti locali 166631 12874 Fastweb 106795 12761 COLT Internet Italy 89449 12797 Atlanet 39654 12734 Fiat Group 25422 21375 NOICOM 20264 2594 CSI Piemonte 9475 13286 Opennet 7132 13113 ReteItaly 6662 12779 ITGATE.Net 4921 8980 Club Nautilus S.p.A. AS112 – p. 15/2
  • 16. Principali sorgenti 113802 ns1.ip-plus.net 106806 richelieu.ns.easynet.net 99936 151.8.97.34 (bbtlc.it) 83915 217.220.127.4 (DSL albacom) 81239 195.218.107.114 (nevadatele.com) . . . 57629 hal-5.inet.it 57597 hal-4.inet.it 54057 gw-nova.dsnet.it 37822 ns.its.it AS112 – p. 16/2
  • 17. Principale colpevole Windows XP e Windows 2000 timeout ogni 5, 10 e 60 minuti flood a mezzanotte per dettagli: articolo KB Q246804 le cache dovrebbero assorbire le query! I siti che ho contattato non rispondono o sono reticenti. AS112 – p. 17/2
  • 18. Query strane flood della stessa. Colpa di firewall unidirezionali? UDP: bad checksum. From 213.21.150.34:721 ... 10 q/d da 193.42.233.75 (INTESA-NET) query da indirizzi RFC1918 Morale: controllate i vostri filtri! ip verify unicast source reachable-via any AS112 – p. 18/2
  • 19. Il futuro draft-kato-dnsop-local-zones-00.txt (Kato/Vixie, WIP) NSD grafici interessanti altre statistiche (Idee? Codice?) . . . AS112 – p. 19/2
  • 20. Domande? http://www.linux.it/%7emd/text/as112.pdf (google . . . Marco d’Itri . . . I feel lucky) AS112 – p. 20/2