Was passiert mit g.root-servers.net?

Ich habe gerade herausgefunden, dass 192.112.36.4( g.root-servers.net.) weder auf Anfragen noch auf Pings antwortet.

.                        3600000      NS    G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4

Ich habe http://www.internic.net/domain/named.root überprüft , eine aktualisierte Liste der Stammserver, und die IP-Adresse ist korrekt. Ich hatte immer den Eindruck, dass diese Root-Server so redundant sind, dass es unmöglich ist, dass es zu Ausfallzeiten kommt. Laut http://root-servers.org gibt es weltweit sechs Standorte, an denen sich Server befinden. Daher würde ich davon ausgehen, dass ich mit dieser Annahme richtig liege.

Meine Frage ist, ob g.root-servers.net.es sich in irgendeiner Weise von den anderen unterscheidet oder ob es etwas Besonderes ist
und ob ich aus irgendeinem Grund keine DNS-Antwort erhalten soll?

domain-name-system Daniel
quelle

G-root wird vom US-Militär geführt.

Michael Hampton

Also hat nur das US-Militär Zugang dazu, oder was willst du mir sagen?

Daniel

Sie haben gefragt, was daran anders oder besonders ist.

Michael Hampton

neither responds to requests, nor responds to pings- Ping ist nur dann ein nützliches Werkzeug, wenn Sie wissen, dass Sie eine Antwort vom Ziel erhalten sollten. Ihre Aussage, dass es nicht auf Pings reagiert, impliziert, dass Sie der Meinung sind, dass Sie eine Antwort erhalten sollten. Nun, wie sich herausstellt, antworten alle anderen Root-Server auf Pings, so dass es eine ziemlich sichere Annahme ist, dass auch g.root-servers.net sollte, aber das ist trotzdem eine Annahme. Verwenden Sie Ping nur, wenn Sie genau wissen, dass das Ziel reagieren soll, da Sie sonst Ihre Zeit mit dem Kippen an Windmühlen verschwenden.

Joeqwerty

FWIW, der g.root Server wurde auf DNS über TCP - Anfragen während des Ausfalls reagieren - es war nur für UDP , dass es nicht verfügbar war.

Alnitak

Antworten:

Ich hatte immer den Eindruck, dass diese Root-Server so redundant sind, dass es unmöglich ist, dass es zu Ausfallzeiten kommt. Laut http://root-servers.org gibt es weltweit sechs Standorte, an denen sich Server befinden. Daher würde ich davon ausgehen, dass ich mit dieser Annahme richtig liege.

Selbst wenn es für G keinen undokumentierten Ausfall gab, ist das eine falsche Annahme:

Die Anycast-IP-Adressen können mehrere physische Standorte darstellen, es ist jedoch unerwünscht, dass Missbrauchsereignisse in einer Region in anderen Regionen zu Fehlern führen . Wenn eine Site abbricht, wird dieser Datenverkehr nicht auf eine andere Site verlagert.
Freigegebene Netzwerkverbindungen, bei denen ein Missbrauch gegen einen Root-Server vorliegt, können sehr wahrscheinlich ersticken, bevor die Infrastruktur näher an einem Root-Server ist.

Schließlich haben wir das menschliche Element. G war auf der ganzen Linie unten , aber es hat keinen offiziell bekanntgegebenen Grund für warum zu diesem Zeitpunkt. Ein weitverbreitetes Versagen dieser Art weist in der Regel auf eine vorsätzliche Handlung oder ein katastrophales Versagen in der Zentralverwaltung hin.

Da die Benutzer von Serverfault nicht die Administratoren der Stammserver repräsentieren, sollten Sie auf eine offizielle Erklärung achten . In der Zwischenzeit reicht der obige Link aus, um zu belegen, dass es einen Totalausfall für G gab. Das Internet funktionierte weiterhin, da eine nicht funktionierende Wurzel keinen signifikanten Einfluss auf das Gesamtbild hat.

Update von der DoD-Netzwerkkarte:

Regarding yesterday's G-root outage:

Like many outages, this one resulted from a series of unfortunate events.
These unfortunate events were operational errors;  steps have been taken to
prevent any reoccurrence, and to provide better service in the future.

https://lists.dns-oarc.net/pipermail/dns-operations/2016-April/014765.html

Andrew B
quelle

Ich war gestern Nachmittag mit jemandem von Ripe in einem Meeting und mein erster Eindruck, nachdem sie mir die Probleme gezeigt hatte, war, dass die Rootserver unter einer Fehlkonfiguration in der Firewall litten.

Die Dinge, die mir aufgefallen sind:

TCP-Antworten funktionierten einwandfrei. ( https://atlas.ripe.net/dnsmon/group/root?dnsmon.session.color_range_pls=0-66-66-99-100&dnsmon.session.exclude-errors=true&dnsmon.type=server-probes&dnsmon.server=192.112 .36.4 & dnsmon.zone = root & dnsmon.startTime = 1460573400 & dnsmon.endTime = 1460649600 & dnsmon.ipVersion = beide & dnsmon.isTcp = true )
UDP-Antworten waren tot.
Alle reifen Atlas-Sonden berichteten über das gleiche Problem. Das Problem war nicht spezifisch für eine Region.
Das BGP-Routing zum Netzwerk war in Ordnung. Keine Probleme da.

Die Tatsache, dass UDP und TCP nicht funktioniert haben, deutet darauf hin, dass jemand versucht hat, UDP-Pakete über einer bestimmten Größe oder Ähnlichem zu blockieren.

Während des Ausfalls habe ich mehrere Tests durchgeführt und alle UDP-Tests sind fehlgeschlagen, nicht nur Tests mit einer Antwortgröße von mehr als 512 Byte.

Jan Hugo Prins
quelle