Академический Документы
Профессиональный Документы
Культура Документы
3 PTT Frum o
David Robert Camargo de Campos <david@registro.br> Rafael Dantas Justo <rafael@registro.br> Wilson Rogrio Lopes <wilson@registro.br> e
Registro.br
Dezembro de 2009
1 / 135
Objetivos
Entender os conceitos de DNS Congurar servidores autoritativos Congurar servidores recursivos Entender as diferenas entre DNS e DNSSEC c Congurar corretamente o rewall Testar performance dos servidores Planejar escalabilidade de recursivos Monitorar os servidores
2 / 135
Cronograma
DNS Conceitos Arquitetura Servidores DNS Autoritativos Cenrio a Arquivos de Zona Conguraao BIND c Conguraao NSD c
DNSSEC Vulnerabilidades do DNS Conceito Conguraao do Autoritativo c Conguraao do Recursivo c Firewalls DNS EDNS0 Conguraao c Testes de Performance Recursivo Autoritativo Escalabilidade de Recursivos Monitoramento Autoritativo Recursivo
Servidores DNS Recursivos 7 Cenrio a Conguraao BIND c Servidores DNS Recursivos abertos Recursivo e Autoritativo 8 9
3 / 135
4 / 135
5 / 135
Hierarquia
DNS database
"."
UNIX lesystem
6 / 135
com
br
Zona br
org
eng
Zona eng.br Zona foo.eng.br
nom silva
Zona nom.br
gov
Zona gov.br
Delegao ca
fazenda
foo
joao
tutorial
Zona tutorial.foo.eng.br Zona joao.silva.nom.br Zona fazenda.gov.br
Indica uma transferncia e de responsabilidade na administrao apartir ca daquele ponto na rvore a DNS
Domnio br
7 / 135
Resource Records
Os dados associados com os nomes de dom esto contidos em nio a Resource Records ou RRs (Registro de Recursos) So divididos em classes e tipos a Atualmente existe uma grande variedade de tipos O conjunto de resource records com o mesmo nome de dom nio, classe e tipo denominado RRset e
Indica onde comea a autoridade a zona c Indica um servidor de nomes para a zona Mapeamento de nome a endereo c Mapeamento de nome a endereo c Mapeia um nome alternativo
(IPv4) (IPv6) (servidor de email)
Tipos de servidores
Servidor Recursivo
Ao receber requisies de resoluo de nomes, faz requisies para os co ca co servidores autoritativos e conforme a resposta recebida dos mesmos continua a realizar requisies para outros servidores autoritativos at co e obter a resposta satisfatria o
Servidor Autoritativo
Ao receber requisies de resoluo de nome, responde um endereo caso co ca c possua, uma referncia caso conhea o caminho da resoluo ou uma e c ca negao caso no conhea ca a c
9 / 135
Resolver
Servio localizado c no cliente que tem como responsabilidade resolver as requisioes DNS c para diversos aplicativos
10 / 135
11 / 135
12 / 135
13 / 135
14 / 135
15 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
Resolver
exemplo.foo.eng.br ?
g.b
r?
FOO
TUTORIAL
16 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
20
0.1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
FOO
TUTORIAL
17 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
20
0.1
exemplo.foo.eng.br ?
60
g.b
200.160.10.251
r?
FOO
TUTORIAL
Resolver
18 / 135
"."
em ex
se cia
rv
fe Re
BR
ENG
ex em
20
0.1
exemplo.foo.eng.br ?
60
g.b
200.160.10.251
r?
FOO
TUTORIAL
Resolver
19 / 135
Fluxo de dados
1 2 3 4
Resolver faz consultas no Recursivo Recursivo faz consultas no Master ou Slave Master tem a zona original (via arquivo ou Dynamic Update) Slave recebe a zona do Master (AXFR ou IXFR)
20 / 135
21 / 135
Cenrio a
Organizao Foo Engenharia Ltda. ca
Possui o dom foo.eng.br registrado no Registro.br; nio Possui o bloco 200.160.0/24 designado de um provedor; Possui o bloco 2001:12::/32 alocado pelo Registro.br.
Cliente A
Possui o dom a.foo.eng.br delegado pela organizao Foo; nio ca Possui o bloco 200.160.0.127/28 designado pela organizao Foo. ca
Cliente B
Possui o dom b.foo.eng.br delegado pela organizao Foo; nio ca Possui o bloco 200.160.0.191/26 designado pela organizao Foo. ca
22 / 135
Cenrio a
Organizao Foo Engenharia Ltda. foo.eng.br 2001:12::/32 200.160.0/24
23 / 135
Cenrio a
Alocados
200.160.0.0/25
Livres
200.160.0.143/28
200.160.0.127/28
200.160.0.159/27
200.160.0.191/26 200.160.0/24
24 / 135
db.foo.eng.br
foo.eng.br. 86400 IN SOA 2009120200 ; 3600 ; 3600 ; 3600 ; 900 ) ; ns1.foo.eng.br. hostmaster.foo.eng.br. ( serial refresh retry expire minimum
;; Servidores DNS que respondem por esta zona foo.eng.br. 86400 IN NS ns1.foo.eng.br. foo.eng.br. 86400 IN NS ns2.foo.eng.br. ;; Cliente A a.foo.eng.br. a.foo.eng.br. ;; Cliente B b.foo.eng.br. b.foo.eng.br.
25 / 135
db.foo.eng.br
;; Traduo nomes IPs (GLUEs) ca ns1.foo.eng.br. 86400 IN A 200.160.0.1 ns2.foo.eng.br. 86400 IN A 200.160.0.2 ns1.foo.eng.br. 86400 IN AAAA 2001:12ff::1 ns2.foo.eng.br. 86400 IN AAAA 2001:12ff::2 ns1.a.foo.eng.br. ns2.a.foo.eng.br. ns1.b.foo.eng.br. ns2.b.foo.eng.br. ;; Web server www.foo.eng.br. www.foo.eng.br. 86400 86400 86400 86400 IN IN IN IN A A A A 200.160.0.128 200.160.0.129 200.160.0.192 200.160.0.193
26 / 135
;; Servidores DNS que respondem por esta zona reverso 0.160.200.in-addr.arpa. 0.160.200.in-addr.arpa. 172800 IN NS ns1.foo.eng.br. 172800 IN NS ns2.foo.eng.br.
;; Cliente A (200.160.0.127 200.160.0.142 = 200.160.0.127/28) 127/28.0.160.200.in-addr.arpa. 127/28.0.160.200.in-addr.arpa. 128.0.160.200.in-addr.arpa. 129.0.160.200.in-addr.arpa. ... 142.0.160.200.in-addr.arpa. 172800 IN NS ns1.a.foo.eng.br. 172800 IN NS ns2.a.foo.eng.br. 172800 IN CNAME 128.127/28.0.160.200.in-addr.arpa. 172800 IN CNAME 129.127/28.0.160.200.in-addr.arpa. 172800 IN CNAME 142.127/28.0.160.200.in-addr.arpa.
27 / 135
db.0.160.200.in-addr.arpa (continuao...) ca
;; Cliente B (200.160.0.191 200.160.0.255 = 200.160.0.191/26) 191/26.0.160.200.in-addr.arpa. 191/26.0.160.200.in-addr.arpa. 192.0.160.200.in-addr.arpa. 193.0.160.200.in-addr.arpa. ... 254.0.160.200.in-addr.arpa. ;; Endereos reversos c 1.0.160.200.in-addr.arpa. 2.0.160.200.in-addr.arpa. 3.0.160.200.in-addr.arpa. ... 86400 86400 86400 IN PTR ns1.foo.eng.br. IN PTR ns2.foo.eng.br. IN PTR www.foo.eng.br. 172800 IN NS ns1.b.foo.eng.br. 172800 IN NS ns2.b.foo.eng.br. 172800 IN CNAME 192.127/28.0.160.200.in-addr.arpa. 172800 IN CNAME 193.127/28.0.160.200.in-addr.arpa. 172800 IN CNAME 254.127/28.0.160.200.in-addr.arpa.
28 / 135
29 / 135
ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa. 1 86400 IN PTR ns1.foo.eng.br. 2 86400 IN PTR ns2.foo.eng.br. 3 86400 IN PTR www.foo.eng.br.
Diculdade
A inviabilidade de listar todos os reversos dos hosts de um bloco IPv6 gerou diversas discusses. O draft draft-howard-isp-ip6rdns-01 aborda este o tema.
30 / 135
Publicao de Reverso ca
Informao ca
Para as delegaes informadas diretamente na interface do Registro.br co (/24 ou maior) as publicaes das alteraes ocorrem a cada 4 horas com co co nicio as 2hs.
31 / 135
db.a.foo.eng.br
a.foo.eng.br. 86400 IN 2009120200 3600 3600 3600 900 ) SOA ns1.a.foo.eng.br. hostmaster.a.foo.eng.br. ( ; serial ; refresh ; retry ; expire ; minimum
;; Servidores DNS que respondem por esta zona a.foo.eng.br. 86400 IN NS ns1.a.foo.eng.br. a.foo.eng.br. 86400 IN NS ns2.a.foo.eng.br. ;; Traduo nomes IPs (GLUEs) ca ns1.a.foo.eng.br. 86400 IN A 200.160.0.128 ns2.a.foo.eng.br. 86400 IN A 200.160.0.129 ;; Web server www.a.foo.eng.br.
86400 IN A 200.160.0.142
32 / 135
db.127.0.160.200.in-addr.arpa
127/28.0.160.200.in-addr.arpa. 172800 IN SOA ns1.a.foo.eng.br. 2009120200 ; serial 3600 ; refresh 3600 ; retry 3600 ; expire 900 ) ; minimum ;; Servidores DNS que respondem por esta zona reverso 127/28.0.160.200.in-addr.arpa. 127/28.0.160.200.in-addr.arpa. ;; Endereos reversos c 128.127/28.0.160.200.in-addr.arpa. 129.127/28.0.160.200.in-addr.arpa. ... 142.127/28.0.160.200.in-addr.arpa. 172800 IN PTR ns1.a.foo.eng.br. 172800 IN PTR ns2.a.foo.eng.br. 172800 IN PTR www.a.foo.eng.br. 172800 IN NS ns1.a.foo.eng.br. 172800 IN NS ns2.a.foo.eng.br. hostmaster.a.foo.eng.br. (
33 / 135
db.b.foo.eng.br
b.foo.eng.br. 86400 IN 2009120200 3600 3600 3600 900 ) SOA ns1.b.foo.eng.br. hostmaster.b.foo.eng.br. ( ; serial ; refresh ; retry ; expire ; minimum
;; Servidores DNS que respondem por esta zona b.foo.eng.br. 86400 IN NS ns1.b.foo.eng.br. b.foo.eng.br. 86400 IN NS ns2.b.foo.eng.br. ;; Traduo nomes IPs (GLUEs) ca ns1.b.foo.eng.br. 86400 IN A 200.160.0.192 ns2.b.foo.eng.br. 86400 IN A 200.160.0.193 ;; Web server www.b.foo.eng.br.
86400 IN A 200.160.0.254
34 / 135
db.191.0.160.200.in-addr.arpa
191/26.0.160.200.in-addr.arpa. 172800 IN SOA ns1.b.foo.eng.br. 2009120200 ; serial 3600 ; refresh 3600 ; retry 3600 ; expire 900 ) ; minimum ;; Servidores DNS que respondem por esta zona reverso 191/26.0.160.200.in-addr.arpa. 191/26.0.160.200.in-addr.arpa. ;; Endereos reversos c 192.191/26.0.160.200.in-addr.arpa. 193.191/26.0.160.200.in-addr.arpa. ... 254.191/26.0.160.200.in-addr.arpa. 172800 IN PTR ns1.b.foo.eng.br. 172800 IN PTR ns2.b.foo.eng.br. 172800 IN PTR www.b.foo.eng.br. 172800 IN NS ns1.b.foo.eng.br. 172800 IN NS ns2.b.foo.eng.br. hostmaster.b.foo.eng.br. (
35 / 135
36 / 135
37 / 135
38 / 135
39 / 135
41 / 135
43 / 135
44 / 135
Observao ca
O NSD quando utilizado como master no envia IXFR para os slaves. Mas a caso o NSD seja utilizado como slave, ele entende requisies IXFR. co
45 / 135
46 / 135
47 / 135
48 / 135
49 / 135
50 / 135
51 / 135
Cenrio a
A organizao Foo deseja disponibilizar um servidor DNS recursivo para ca sua infra-estrutura local e para todos os seus clientes. Este servidor DNS recursivo ter o IPv4 200.160.0.6 e o IPv6 2001:12::6. a
52 / 135
Aviso
No utilizem a opo query-source. Ao xar uma porta de origem o a ca servidor DNS ca muito mais vulnervel a ataques de poluio de cache. a ca Principalmente aos ataques descritos por Dan Kaminsky.
53 / 135
54 / 135
unbound.conf
server: port: 53 interface: 127.0.0.1 interface: 200.160.0.6 interface: 2001:12ff::6 access-control: 0.0.0.0/0 refuse access-control: 200.160.0.0/24 allow access-control: 127.0.0.0/8 allow access-control: ::0/0 refuse access-control: 2001:12ff::/32 allow directory: /usr/local/unbound/etc/unbound chroot: /usr/local/unbound/etc/unbound username: unbound logfile: unbound.log do-ip4: yes do-ip6: yes
55 / 135
Efeito
Aceitam consultas DNS vindas de qualquer computador da Internet. Possibilita ataques de amplicao de respostas DNS e uso de banda por ca terceiros.
Soluo ca
Congurao correta do rewall. ca BIND: NSD:
access-control: access-control: access-control: 0.0.0.0/0 refuse 200.160.0.0/24 allow 127.0.0.0/8 allow
acl clientes { 127.0.0.0/8; 200.160.0.0/24; }; allow-query { clientes; }; allow-query-cache { clientes; }; allow-recursion { clientes; };
56 / 135
57 / 135
58 / 135
Explicando...
Recursivo e autoritativo possui conguraes de acesso diferentes; co As regras de rewalls so distintas; a
59 / 135
60 / 135
Vulnerabilidades do DNS
61 / 135
62 / 135
O que DNSSEC? e
Extenso da tecnologia DNS a (o que existia continua a funcionar) Possibilita maior segurana para o usurio na Internet c a (corrige falhas do DNS)
O que garante?
Origem (Autenticidade) Integridade A no existncia de um nome ou tipo a e
O que DNSSEC? e
O que DNSSEC? e
O que DNSSEC? e
O resolver recursivo j a possui a chave pblica u da zona .br ancorada.
66 / 135
O que DNSSEC? e
Nesta simulao de ca resoluo supomos que ca a raiz no est a a assinada.
67 / 135
O que DNSSEC? e
Retorna sem resposta, mas com referncia e para os Records: NS do .br.
68 / 135
O que DNSSEC? e
O servidor recursivo requisita a DNSKEY ao vericar que o nome da zona igual ao e nome da zona que consta em sua trusted-key.
69 / 135
O que DNSSEC? e
O servidor DNS responde enviando DNSKEY e o RRSIG
70 / 135
O que DNSSEC? e
Compara a trusted-key com a DNSKEY, caso for vlida continua a com as requisioes c
71 / 135
O que DNSSEC? e
72 / 135
O que DNSSEC? e
Retorna sem resposta, mas com referncia e para os Records:
- NS do foo.eng.br
73 / 135
O que DNSSEC? e
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record DS
74 / 135
O que DNSSEC? e
75 / 135
O que DNSSEC? e
76 / 135
O que DNSSEC? e
O servidor DNS recursivo verica atravs do DS e da e DNSKEY, se este servidor DNS vlido. e a
77 / 135
O que DNSSEC? e
em ex
se cia
rv
fe Re
ex em
Resolver
exemplo.foo.eng.br ?
g.b
r?
78 / 135
O que DNSSEC? e
Retorna o Record A e sua assinatura RRSIG.
Servidor DNS Autoritativo
g.b r? s re ido .br n o.e .fo plo n re
em ex
se cia
rv
fe Re
ex em
20
0.1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
79 / 135
O que DNSSEC? e
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record A
em ex
se cia
rv
fe Re
ex em 20
0.1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
80 / 135
O que DNSSEC? e
81 / 135
Startup
Gerar a chave assimtrica; e Incluir a chave na zona; Assinar a zona; Mudar a referncia para o arquivo de zona nas conguraes; e co Incluir o DS na interface do Registro.br.
Manuteno ca
Reassinar periodicamente a zona.
82 / 135
Manuteno ca
1 2
Pblico Alvo u
Provedores de hospedagem ou qualquer outra instituio responsvel por ca a administrar servidores DNS autoritativos para muitas zonas
84 / 135
Startup
Ancorar a chave pblica do.BR u
Manuteno ca
Para servidores DNS com suporte a RFC 5011: Nada! Para servidores DNS sem suporte a RFC 5011: Trocar a chave ancorada todas as vezes em que ocorrer um rollover no .BR
85 / 135
Unbound (unbound.conf):
trust-anchor: br. DS 18457 5 1 1067149C134A5B5FF8FC5ED0996E4E9E50AC21B1
Manuteno ca
1 2
Obtenha a nova chave em https://registro.br/ksk/; Ancore a nova chave no servidor DNS recursivo.
86 / 135
Parte VI Firewalls
87 / 135
DNS
Denido nas RFCs 1034 e 1035; Servidores aceitam consultas em transporte TCP/UDP, porta 53; Payload maximo em transporte UDP de 512 bytes; Payload maximo por mensagem DNS em TCP de 64 Kbytes.
88 / 135
DNS
Consulta inicial via UDP; Resposta maior do que 512 bytes, ag TC e marcada para indicar que sua resposta est truncada; a Cliente refaz consulta via TCP.
89 / 135
Denido na RFC 2671; Extenso do protocolo DNS original para eliminar alguns limites do a protocolo; Permite:
mais ags e RCODEs ao cabe alho DNS; novos tipos de labels; payloads maiores em transporte UDP (limitado a 64 Kbytes); dene um novo pseudo-RR: OPT.
90 / 135
Depende de suporte tanto no cliente como no servidor; Cliente envia consulta UDP com pseudo-RR OPT na seo Additional ca da mensagem DNS, informando qual o tamanho mximo de respostas a UDP que pode processar; Se servidor suportar EDNS0, pode aumentar o limite para o tamanho da resposta que vai retornar ao cliente, evitando re-query via TCP; Se servidor no suportar EDNS0, envia resposta com at 512 bytes de a e payload DNS.
91 / 135
Alguns exemplos de servidores que suportam EDNS0: Bind (desde 8.3.x - 2001); Microsoft DNS server (Windows 2003); NSD (auth only - desde 1.x - 2003); ANS/CNS.
92 / 135
Congurando o Firewall
93 / 135
Congurando o Firewall
Autoritativos
Consultas com destino ` porta 53 UDP e TCP do servidor autoritativo e a respectivas respostas devem ser permitidas.
Recursivos
Consultas do servidor recursivo com destino ` porta 53 UDP e TCP de a qualquer outro servidor e respectivas respostas devem ser permitidas; Consultas vindas de clientes autorizados com destino ` porta 53 UDP a e TCP do servidor recursivo e respectivas respostas devem ser permitidas; Bloqueio `s demais consultas DNS direcionadas ao servidor recursivo. a
94 / 135
Congurando o Firewall
Firewalls e DNS/UDP > 512 bytes
Se seu servidor recursivo suporta EDNS0, verique se seu rewall permite datagramas UDP/DNS com mais de 512 bytes. Um teste pode ser feito atravs da seguinte consulta (935 bytes de payload DNS): e
dig @a.dns.br br ns +dnssec +bufsize=1000
Se a resposta no for recebida, pode-se: a corrigir o comportamento do rewall; diminuir o payload mximo enviado via record OPT na congurao; a ca EDNS0 do servidor para 512 bytes.
95 / 135
Congurando o Firewall
Firewalls e DNS/UDP > 512 bytes
Se seu servidor recursivo suporta EDNS0 e o rewall suporta mensagens DNS maiores que 512 bytes, verique se seu rewall capaz de fazer o e correto reassembly de datagramas UDP fragmentados. Um teste pode ser feito atravs da seguinte consulta (2185 bytes de payload DNS): e
dig @a.dns.br br dnskey +dnssec +bufsize=2500
Se a resposta no for recebida, pode-se: a corrigir o comportamento do rewall; diminuir o payload mximo enviado via record OPT na congurao a ca EDNS0 do resolver. RFC EDNS0 sugere que se congure baseado em MTU de 1280 bytes.
96 / 135
97 / 135
98 / 135
Responde ` consultas a
consultas j em cache a consulta servidores autoritativos
Aviso
Exatido de uma simulao depende da comunicao com os autoritativos a ca ca
99 / 135
Testes Propostos
Consultas em cache Algumas dezenas de consultas repetidas por 5 minutos !Cache Servidor com cache limpo Consultas unicas durante 5 minutos Todas as consultas vlidas a
100 / 135
101 / 135
-s: -r:
102 / 135
103 / 135
104 / 135
105 / 135
106 / 135
107 / 135
Teste Proposto
Servidor autoritativo com 1000 zonas conguradas Dois clientes consultam aleatoriamente registros existentes nessas zonas
108 / 135
109 / 135
-s: -l:
110 / 135
111 / 135
112 / 135
113 / 135
Escalabilidade de Recursivos
Motivao ca
DNS recursivo instvel foco de reclamaes constantes a e co
114 / 135
Escalabilidade de Recursivos
Escalabilidade e Estabilidade
Suporte a alto trfego a Suporte a muitos usurios a Fcil upgrade caso a demanda aumente a Manuteno sem parada do sistema ca Alta disponibilidade Balanceamento de carga
115 / 135
Escalabilidade de Recursivos
Cluster
116 / 135
Escalabilidade de Recursivos
Flexibilidade
Mais de um roteador Mais de um switch
117 / 135
Escalabilidade de Recursivos
Soluo ca
Roteador + [UNIX + Quagga + BIND] Endereo do servio roda na loopback dos servidores c c Anycast dentro do cluster Protocolo de roteamento dinmico com suporte a ECMP - OSPF a
118 / 135
Escalabilidade de Recursivos
Topologia
119 / 135
Escalabilidade de Recursivos
Anycast na Rede
Redundancia IBGP entre os clusters
120 / 135
Escalabilidade de Recursivos
ECMP
Assimetria de trfego a O balanceamento de carga no exato a e Incoerncia de cache entre os servidores e O cache dos servidores no so idnticos, pois o trfego que eles a a e a recebem tambm no e a e No h problema! a a
121 / 135
Escalabilidade de Recursivos
Detalhes do BIND
BIND rodando nas duas interfaces Queries chegam para a loopback Monitorao pelo endereo individual ca c acl Max-cache-size recursive-clients
122 / 135
Escalabilidade de Recursivos
Controle
1 2
Iniciar processo do BIND Subir interface loopback Quagga envia LSA para o roteador ifconfig lo1 up Tirar o servidor do ar Enviar LSA removendo a rota ifconfig lo1 down
123 / 135
Escalabilidade de Recursivos
Recursos
Exemplo:
Rede com 1M de usurios simultneos a a Mdia de 50 q/h (por usurio) e a
50 x 1M = 50M q/h
14k q/s
Um nico servidor (com hardware robusto) capaz de suportar esta carga u e Sugesto para atingir alta disponibilidade: a - cluster com 3 ou 4 servidores
124 / 135
Escalabilidade de Recursivos
Monitorao ca
Processo do BIND est no ar? a Monitorar endereo unicast de cada servidor c Qual servidor que est respondendo? a dig @192.168.1.1 chaos txt hostname.bind +short Watchdog Caso o BIND pare de responder ifconfig lo1 down
125 / 135
Parte IX Monitoramento
126 / 135
Monitoramento
Autoritativos
Disponibilidade Autoridade sobre as zonas Verso da zona (serial) a DNSSEC - validao ca Recursos
127 / 135
Monitoramento - Autoritativo
SNMP - cpu, memria, trfego o a Nagios Plugin check dns Alertas via email, sms Status Information:OK: Servidor a.dns.br. (200.160.0.10) respondendo com autoridade para com.br Custom Plugins - Serial, DNSSEC
128 / 135
Monitoramento - Autoritativo
DSC - DNS Statistics Collector Dispon em http://dns.measurement-factory.com/tools/dsc/ vel Collector - Processo que usa a libpcap para coletar pacotes DNS Armazena em XML Presenter - Recebe datasets XML dos coletores estat sticas CGI plota as
129 / 135
Monitoramento - Autoritativo
130 / 135
Monitoramento - Autoritativo
Query Types
131 / 135
Monitoramento
Recursivos
Disponibilidade Recursos
132 / 135
Monitoramento - Recursivo
Custom Plugins
133 / 135
Perguntas?
134 / 135
Referncias e
RFC 2317 Classless IN-ADDR.ARPA delegation DNS recursivo estvel e escalvel a a ftp://ftp.registro.br/pub/gter/gter23/05-DNSrecEstavelEscalavel.pdf Firewalls e DNS, como e porque congurar corretamente ftp://ftp.registro.br/pub/doc/dns-fw.pdf Recomendaoes para Evitar o Abuso de Servidores DNS Recursivos Abertos c http://www.cert.br/docs/whitepapers/dns-recursivo-aberto A ultima verso do tutorial de DNSSEC pode ser encontrada em a ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf
135 / 135