Auteur Sujet: Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde  (Lu 4612 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde

La Caisse d'Allocations Familiales semble avoir mal configuré son DNS autoritaire : Le TTL, temps pendant lequel l’information peut être caché par les DNS récursifs est de 0 secondes, donc le cache est impossible.
Le TTL est généralement configuré sur une durée de 1h, mais cela peut aller à 24h.

Le TTL est le 0 que j'ai mis en bleu dans la requête ci-dessous !

$ dig a www.caf.fr

; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> a www.caf.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1730
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.caf.fr.         IN   A

;; ANSWER SECTION:
www.caf.fr.      0   IN   A   195.101.92.10

;; AUTHORITY SECTION:
www.caf.fr.      104   IN   NS   ns-lb.caf.fr.

;; Query time: 9 msec
;; SERVER: 91.194.96.11#53(91.194.96.11)
;; WHEN: Thu Jun 01 12:03:23 CEST 2017
;; MSG SIZE  rcvd: 75


Pour www.google.fr il est de 300 secondes, soit 5 minutes.

Dans la requête dig ci-dessous le TTL est de 114 secondes, car il est déja en cache et cela fait 186 secondes que le DNS n'a pas été faire une requêtes récursive.


$ dig a www.google.fr

; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> a www.google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.google.fr.         IN   A

;; ANSWER SECTION:
www.google.fr.      114   IN   A   74.125.206.94

;; AUTHORITY SECTION:
google.fr.      76103   IN   NS   ns2.google.com.
google.fr.      76103   IN   NS   ns3.google.com.
google.fr.      76103   IN   NS   ns4.google.com.
google.fr.      76103   IN   NS   ns1.google.com.

;; ADDITIONAL SECTION:
ns4.google.com.      165072   IN   A   216.239.38.10
ns1.google.com.      165072   IN   A   216.239.32.10
ns2.google.com.      165072   IN   A   216.239.34.10
ns3.google.com.      165072   IN   A   216.239.36.10

;; Query time: 1 msec
;; SERVER: 91.194.96.11#53(91.194.96.11)
;; WHEN: Thu Jun 01 12:07:40 CEST 2017
;; MSG SIZE  rcvd: 204

JeannotPlanche

  • Expert Scaleway
  • Abonné Free fibre
  • *
  • Messages: 128
  • 93
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #1 le: 01 juin 2017 à 13:52:41 »
N'est-ce pas plutôt seulement l'enregistrement A pour www.caf.fr ? Le TTL est à 294 pour caf.fr


vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #2 le: 01 juin 2017 à 14:19:36 »
Oui, mais leur site internet est www.caf.fr et non caf.fr

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #3 le: 01 juin 2017 à 14:42:59 »
Si le record n'a pas de TTL, on prend le TTL du domaine il me semble.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #4 le: 01 juin 2017 à 21:48:39 »
Il y a un truc qui me chiffonne. Est-ce qu'il est possible d'attribuer un TTL à un simple enregistrement ? Je pensais que le TTL était fixé au niveau du fichier de zone, dans les enregistrements SOA ? Donc tous les A record d'une zone devraient avoir le même TTL ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #5 le: 01 juin 2017 à 21:54:56 »
c'est bien 0 pour www.caf.fr et 300 pour caf.fr, le domain est a 3600 comme default TTL.

quand c'est vide ou négatif pour une entrée, on prenais le TTL 'minimum' du domaine sauf que cela a changé depuis la RFC 2308 ,ce champ est maintenant le 'Negative Caching' (= combien de temps une réponse négative est valable). Les serveurs sont censés utiliser le champ $TTL pour le défaut TTL.

A noter qu'un entrée sans TTL n'a de sens que sur le serveur primaire. 

user@I7XP:~$ dig +nocmd +noall +answer caf.fr
caf.fr.                 300     IN      A       77.158.24.239
caf.fr.                 300     IN      A       195.101.92.10
user@xxxxxx:~$ dig +nocmd +noall +answer www.caf.fr
www.caf.fr.             0       IN      A       77.158.24.250
user@xxxxxx:~$ dig +nocmd +multiline +noall +answer any caf.fr
caf.fr.                 136 IN SOA ns.caf.fr. postmaster.caf.fr. (
                                2017051001 ; serial
                                21600      ; refresh (6 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                3600       ; minimum (1 hour)
                                )
caf.fr.                 265 IN A 195.101.92.10
caf.fr.                 265 IN A 77.158.24.239
caf.fr.                 136 IN NS ns4.caf.fr.
caf.fr.                 136 IN NS ns.caf.fr.
caf.fr.                 136 IN NS ns3.caf.fr.
caf.fr.                 136 IN NS ns1.caf.fr.
user@xxxxx:~$

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #6 le: 01 juin 2017 à 22:02:29 »
Il y a un truc qui me chiffonne. Est-ce qu'il est possible d'attribuer un TTL à un simple enregistrement ? Je pensais que le TTL était fixé au niveau du fichier de zone, dans les enregistrements SOA ? Donc tous les A record d'une zone devraient avoir le même TTL ?

oui on peut contrôler pour chaque enregistrement le ttl sinon ca prend le 'minimum' du SOA (bind8 et moins) ou le $TTL (bind9  ou plus)

entrée sans ttl:
livebox  IN  A    192.168.1.1

entrée avec ttl:
livebox  3600 IN  A    192.168.1.1

apres sur certains "vieux codes" de serveur dns ce n'est pas gérer.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 172
  • Delta S 10G-EPON sur Les Ulis (91)
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
« Réponse #7 le: 01 juin 2017 à 22:04:44 »
OK, merci pour la précision. J'aurais appris une chose ce soir.