Wenn manche Transaktionen unerklärlich lange brauchen, müssen nicht verspätet übertragene Nutzdaten
schuld sein. Es kommt nämlich auch eine stolpernde Namensauflösung als Ursache in Betracht. Sysadmin
Charly hat drei Tools in Gebrauch, die den DNS-Server kritisch abklopfen. Charly Kühnast
Aus dem Alltag eines Sysadmin: Dnsdiag
Los, sag’ deinen Namen!
Der pure Zufall nahm mich an die Hand
und führte mich zu Dnsping, Dnstrace-
route und Dnseval. Die Toolsammlung
rund um die Namensauflösung nennt sich
Dnsdiag [1]. Ich brauche Python 3 und
Pip 3, um das Trio zu installieren und zu
betreiben, sowie »sudo«-Aufrufe, damit es
ICMP-Sockets anlegen darf.
Dnsping macht seinem Namens alle Ehre,
fragt einen DNS-Server wiederholt ab und
stellt die Antwortzeiten dar. Als Parame-
ter ist der aufzulösende Hostname zwin-
gend. Dnsping befragt den Default-Name-
server des Systems, was sich mit »-s Na-
meserver« ändern lässt. Mit
sudo dnsping.py ‑v ‑s 8.8.8.8 linux‑magazin.de
frage ich einen öffentlichen DNS-Server
von Google ab. Dessen Antworten lagen
bei mir bei 20 Millisekunden, dem Vier-
fachen meines Provider-DNS.
Dnseval fragt gleich mehrere Server pa-
rallel ab. Als Wettkampfrichter stellt es
die Ergebnisse so dar, dass ich gleich
sehe, welcher Server am schnellsten oder
langsamsten antwortet. Eine Liste der zu
überprüfenden Server schreibe ich in
eine Textdatei, ein Server pro Zeile. Listen
von öffentlichen DNS-Servern sind leicht
zu finden, ich habe mich bei [2] bedient
und von dort die ersten fünf Server der
Liste genommen. Der Aufruf sieht so aus:
sudo dnseval.py ‑f ./liste.txt ‑c 5U
linux‑magazin.deBeim Ergebnis in Abbildung 1 beachtlich
finde ich die Diskrepanz zwischen mini-
maler und maximaler Antwortzeit.Ein Wegelagerer?
Dnstraceroute ermittelt den Pfad, den
meine DNS-Abfrage bis zum Ziel nimmt.
Vergleiche ich ihn mit einem klassischen
ICMP-Traceroute, so komme ich durch
Abweichungen vom rechten Wege einem
Angreifer auf die Schliche, der meineDNS-Anfragen entführt, um mir etwas
unterzujubeln. Mein Testaufruf lautet:
sudo dnstraceroute.py ‑‑expert ‑‑asn ‑CU
‑s 8.8.4.4 linux‑magazin.deDas Ergebnis zeigt Abbildung 2. Der Pa-
rameter »--expert« liefert Tipps, wenn an
der Ausgabe etwas nicht sauber erscheint- etwa wenn der Zielserver nur einen
Hop von einer privaten IP-Adresse (RFC
- entfernt liegt. Fehlalarme passieren
auch, wenn der Admin nicht auf einem
Cloudserver, sondern lokal arbeitet, und
auf dem Router ein DNS-Cache wie Dns-
masq [3] läuft.
Der Parameter »--asn« zeigt für jeden Hop
an, im Netz welches autonomen Systems
(AS) sich die Adresse befindet. So sehe
ich schnell, wo der Vorgang die Provider-
grenze überschreitet. (jk) n
Infos
[1] Dnsdiag [https:// dnsdiag. org]
[2] Kostenloses DNS: [https:// http://www. lifewire.
com/ free‑and‑public‑dns‑servers‑2626062]
[3] Dnsmasq: [http:// http://www. thekelleys. org. uk/
dnsmasq/ doc. html]Der Autor
Charly Kühnast administriert
Unix‑Syste me im Rechenzen‑
trum Niederrhein. Zu seinen
Aufgaben gehören Sicher‑
heit und Verfügbarkeit der
Firewalls und der DMZ.
Inhalt
66 Maria DB 10.3
Die MySQL‑kompatible Datenbank hat
ihre Kinderkrankheiten überwunden.
74 Excelero
Persistenter Netzwerkspeicher für die
Cloud könnte schneller werden.Abbildung 2: Dnstraceroute verfolgt den Weg einer Namensauflösung.Abbildung 1: Überraschender noch als die Unterschiede zwischen den fünf per Dnseval zeitgestoppten Servern ist die Minimal/ Maximal-Diskrepanz jedes einzelnen.65http://www.linux-magazin.deSysadminEinführung