La Fibre
Télécom => Télécom => Veille technologique => Discussion démarrée par: vivien le 01 juin 2017 à 12:12:23
-
Le serveur DNS autoritaire de la CAF a un TTL de 0 : absurde
La Caisse d'Allocations Familiales semble avoir mal configuré son DNS autoritaire : Le TTL, temps pendant lequel l’information peut être caché par les DNS récursifs est de 0 secondes, donc le cache est impossible.
Le TTL est généralement configuré sur une durée de 1h, mais cela peut aller à 24h.
Le TTL est le 0 que j'ai mis en bleu dans la requête ci-dessous !
$ dig a www.caf.fr
; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> a www.caf.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1730
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.caf.fr. IN A
;; ANSWER SECTION:
www.caf.fr. 0 IN A 195.101.92.10
;; AUTHORITY SECTION:
www.caf.fr. 104 IN NS ns-lb.caf.fr.
;; Query time: 9 msec
;; SERVER: 91.194.96.11#53(91.194.96.11)
;; WHEN: Thu Jun 01 12:03:23 CEST 2017
;; MSG SIZE rcvd: 75
Pour www.google.fr il est de 300 secondes, soit 5 minutes.
Dans la requête dig ci-dessous le TTL est de 114 secondes, car il est déja en cache et cela fait 186 secondes que le DNS n'a pas été faire une requêtes récursive.
$ dig a www.google.fr
; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> a www.google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.google.fr. IN A
;; ANSWER SECTION:
www.google.fr. 114 IN A 74.125.206.94
;; AUTHORITY SECTION:
google.fr. 76103 IN NS ns2.google.com.
google.fr. 76103 IN NS ns3.google.com.
google.fr. 76103 IN NS ns4.google.com.
google.fr. 76103 IN NS ns1.google.com.
;; ADDITIONAL SECTION:
ns4.google.com. 165072 IN A 216.239.38.10
ns1.google.com. 165072 IN A 216.239.32.10
ns2.google.com. 165072 IN A 216.239.34.10
ns3.google.com. 165072 IN A 216.239.36.10
;; Query time: 1 msec
;; SERVER: 91.194.96.11#53(91.194.96.11)
;; WHEN: Thu Jun 01 12:07:40 CEST 2017
;; MSG SIZE rcvd: 204
-
N'est-ce pas plutôt seulement l'enregistrement A pour www.caf.fr ? Le TTL est à 294 pour caf.fr
-
Oui, mais leur site internet est www.caf.fr et non caf.fr
-
Si le record n'a pas de TTL, on prend le TTL du domaine il me semble.
-
Il y a un truc qui me chiffonne. Est-ce qu'il est possible d'attribuer un TTL à un simple enregistrement ? Je pensais que le TTL était fixé au niveau du fichier de zone, dans les enregistrements SOA ? Donc tous les A record d'une zone devraient avoir le même TTL ?
-
c'est bien 0 pour www.caf.fr et 300 pour caf.fr, le domain est a 3600 comme default TTL.
quand c'est vide ou négatif pour une entrée, on prenais le TTL 'minimum' du domaine sauf que cela a changé depuis la RFC 2308 ,ce champ est maintenant le 'Negative Caching' (= combien de temps une réponse négative est valable). Les serveurs sont censés utiliser le champ $TTL pour le défaut TTL.
A noter qu'un entrée sans TTL n'a de sens que sur le serveur primaire.
user@I7XP:~$ dig +nocmd +noall +answer caf.fr
caf.fr. 300 IN A 77.158.24.239
caf.fr. 300 IN A 195.101.92.10
user@xxxxxx:~$ dig +nocmd +noall +answer www.caf.fr
www.caf.fr. 0 IN A 77.158.24.250
user@xxxxxx:~$ dig +nocmd +multiline +noall +answer any caf.fr
caf.fr. 136 IN SOA ns.caf.fr. postmaster.caf.fr. (
2017051001 ; serial
21600 ; refresh (6 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
3600 ; minimum (1 hour)
)
caf.fr. 265 IN A 195.101.92.10
caf.fr. 265 IN A 77.158.24.239
caf.fr. 136 IN NS ns4.caf.fr.
caf.fr. 136 IN NS ns.caf.fr.
caf.fr. 136 IN NS ns3.caf.fr.
caf.fr. 136 IN NS ns1.caf.fr.
user@xxxxx:~$
-
Il y a un truc qui me chiffonne. Est-ce qu'il est possible d'attribuer un TTL à un simple enregistrement ? Je pensais que le TTL était fixé au niveau du fichier de zone, dans les enregistrements SOA ? Donc tous les A record d'une zone devraient avoir le même TTL ?
oui on peut contrôler pour chaque enregistrement le ttl sinon ca prend le 'minimum' du SOA (bind8 et moins) ou le $TTL (bind9 ou plus)
entrée sans ttl:
livebox IN A 192.168.1.1
entrée avec ttl:
livebox 3600 IN A 192.168.1.1
apres sur certains "vieux codes" de serveur dns ce n'est pas gérer.
-
OK, merci pour la précision. J'aurais appris une chose ce soir.