resolv.confに記述したDNSサーバへの名前解決のタイムアウトとリトライ回数について改めて確認したので忘備録

CentOS7系およびRocky Linux 9系で確認しています。

/etc/resolv.conf でDNSサーバが次のように指定されている場合、

nameserver 198.51.100.3
nameserver 198.51.100.4

以下の順で利用されます。

1. 198.51.100.3 が タイムアウト 5秒
2. 198.51.100.4 が 5秒 ✖️ 2 ➗ サーバ台数 (小数点切り捨て)のタイムアウト=5 秒

これを2回繰り返し、両方接続不可能な場合、合計20秒間名前解決しようとします。

3台ある場合、

nameserver 198.51.100.3
nameserver 198.51.100.4
nameserver 198.51.100.5

1. 198.51.100.3 が タイムアウト 5秒
2. 198.51.100.4 が 5秒 x 2 ➗ サーバ台数 (小数点切り捨て)のタイムアウト=3 秒
3. 198.51.100.5 が 2. の倍のタイムアウト=6秒

これを2回繰り返し、5秒→3秒→6秒を2回の28秒間試行します。

3台以上DNSサーバがある場合は、4台目以降は無視されます。

タイムアウトはoptions timeout:N 、試行回数は options attempts:M 指定できます。それぞれ一般的なデフォルトは 5秒 と2回 となります。

タイムアウトを短くして試行回数を増やすのであれば、次のようにするのが良さそうです。

nameserver 198.51.100.3
nameserver 198.51.100.4
options timeout:1 attempts:3

デフォルト5秒はWebサーバ用途では長すぎるかもしれません。

また、ubuntu 22.04などでは systemd-resolvedが動作しています。こちらではローカルでキャッシュをもっていたり、接続できないDNSサーバにしばらくのアクセスをしない機能があるようです。

straceで確認

2台の場合

11:56:02.580141 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 4
11:56:02.580190 setsockopt(4, SOL_IP, IP_RECVERR, [1], 4) = 0
11:56:02.580237 connect(4, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("198.51.100.3")}, 16) = 0
11:56:02.580294 poll([{fd=4, events=POLLOUT}], 1, 0) = 1 ([{fd=4, revents=POLLOUT}])
11:56:02.580337 sendto(4, "tC\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
11:56:02.580428 poll([{fd=4, events=POLLIN}], 1, 5000) = 0 (Timeout)
# 5秒
11:56:07.585638 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 5
11:56:07.585726 setsockopt(5, SOL_IP, IP_RECVERR, [1], 4) = 0
11:56:07.585766 connect(5, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("198.51.100.4")}, 16) = 0
11:56:07.585807 poll([{fd=5, events=POLLOUT}], 1, 0) = 1 ([{fd=5, revents=POLLOUT}])
11:56:07.585837 sendto(5, "tC\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
11:56:07.585924 poll([{fd=5, events=POLLIN}], 1, 5000) = 0 (Timeout)
# 5秒
11:56:12.591058 poll([{fd=4, events=POLLOUT}], 1, 0) = 1 ([{fd=4, revents=POLLOUT}])
11:56:12.591182 sendto(4, "tC\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
11:56:12.591282 poll([{fd=4, events=POLLIN}], 1, 5000) = 0 (Timeout)
# 5秒
11:56:17.596483 poll([{fd=5, events=POLLOUT}], 1, 0) = 1 ([{fd=5, revents=POLLOUT}])
11:56:17.596563 sendto(5, "tC\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
11:56:17.596629 poll([{fd=5, events=POLLIN}], 1, 5000) = 0 (Timeout)
# 5秒
11:56:22.601778 close(4)                = 0
11:56:22.601824 close(5)                = 0

3台の場合

12:14:57.572565 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 4
12:14:57.572597 setsockopt(4, SOL_IP, IP_RECVERR, [1], 4) = 0
12:14:57.572626 connect(4, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("198.51.100.3")}, 16) = 0
12:14:57.572682 poll([{fd=4, events=POLLOUT}], 1, 0) = 1 ([{fd=4, revents=POLLOUT}])
12:14:57.572731 sendto(4, "\366\237\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
12:14:57.572795 poll([{fd=4, events=POLLIN}], 1, 5000) = 0 (Timeout)
# 5秒
12:15:02.577947 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 5
12:15:02.578009 setsockopt(5, SOL_IP, IP_RECVERR, [1], 4) = 0
12:15:02.578045 connect(5, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("198.51.100.4")}, 16) = 0
12:15:02.578101 poll([{fd=5, events=POLLOUT}], 1, 0) = 1 ([{fd=5, revents=POLLOUT}])
12:15:02.578138 sendto(5, "\366\237\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
12:15:02.578216 poll([{fd=5, events=POLLIN}], 1, 3000) = 0 (Timeout)
# 3秒
12:15:05.581337 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 6
12:15:05.581406 setsockopt(6, SOL_IP, IP_RECVERR, [1], 4) = 0
12:15:05.581443 connect(6, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("198.51.100.5")}, 16) = 0
12:15:05.581484 poll([{fd=6, events=POLLOUT}], 1, 0) = 1 ([{fd=6, revents=POLLOUT}])
12:15:05.581512 sendto(6, "\366\237\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
12:15:05.581568 poll([{fd=6, events=POLLIN}], 1, 6000) = 0 (Timeout)
# 6秒
12:15:11.587696 poll([{fd=4, events=POLLOUT}], 1, 0) = 1 ([{fd=4, revents=POLLOUT}])
12:15:11.587759 sendto(4, "\366\237\1\0\0\1\0\0\0\0\0\0\6sakura\2ad\2jp\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
12:15:11.587830 poll([{fd=4, events=POLLIN}], 1, 5000) = 0 (Timeout)
# 5秒
12:15:16.592954 poll([{fd=5, events=POLLOUT}], 1, 0) = 1 ([{fd=5, revents=POLLOUT}])
12:15:16.593015 sendto(5, "\366\237\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
12:15:16.593077 poll([{fd=5, events=POLLIN}], 1, 3000) = 0 (Timeout)
# 3秒
12:15:19.596238 poll([{fd=6, events=POLLOUT}], 1, 0) = 1 ([{fd=6, revents=POLLOUT}])
12:15:19.596327 sendto(6, "\366\237\1\0\0\1\0\0\0\0\0\0\6example\2com\0\0\1\0\1", 30, MSG_NOSIGNAL, NULL, 0) = 30
12:15:19.596422 poll([{fd=6, events=POLLIN}], 1, 6000) = 0 (Timeout)
# 5秒
12:15:25.602566 close(4)                = 0
12:15:25.602637 close(5)                = 0
12:15:25.602668 close(6)                = 0

スーパーユーザーなら知っておくべきLinuxシステムの仕組み

• 作者:Brian Ward
• インプレス

Amazon

YAPC::Kyoto 2023、JANOG51 MeetingではDNSへの水責めの攻撃とその対策について話をさせていただきました。その中で DNS攻撃をフィルタリングするために利用している dnsdist についてチューニングにより大きくパフォーマンス向上できることがわかってきたので紹介します。

YAPCの記事 kazeburo.hatenablog.com

JANOG51 Meetingについての記事 knowledge.sakura.ad.jp

Linuxのネットワークパラメータのチューニング

Linuxのチューニングでよくある設定ですが、sysctl.conf で以下のカーネルパラメータをチューニングをします。

net.core.somaxconn = 65535
net.core.netdev_max_backlog = 16384
net.core.rmem_max = 134217728
net.core.wmem_max = 134217728

ここでは rmem_max、wmem_max だけを設定しています。 net.core.rmem_default 、 net.core.wmem_default については後述します。

dnsdistのチューニング

listenするスレッド数を増やす

dnsdistでは addLocal を増やすことでlistenerスレッドの数を増やせます。

addLocal("0.0.0.0:53", {reusePort=true})
addLocal("0.0.0.0:53", {reusePort=true})
addLocal("0.0.0.0:53", {reusePort=true})
addLocal("0.0.0.0:53", {reusePort=true})

この際に reusePort を有効にするとそれぞれのスレッドにListen Queueが分散されるので高速化が見込めます。

また、CPU affinityを固定するのも良いでしょう

addLocal("0.0.0.0:53", {reusePort=true,cpus={0}})
addLocal("0.0.0.0:53", {reusePort=true,cpus={1}})
addLocal("0.0.0.0:53", {reusePort=true,cpus={2}})
addLocal("0.0.0.0:53", {reusePort=true,cpus={3}})

さらにTCPの接続が多い場合、キューのサイズを増やしておくと良いかもしれません

addLocal("0.0.0.0:53", {reusePort=true,cpus={0},tcpListenQueueSize=4096})
addLocal("0.0.0.0:53", {reusePort=true,cpus={1},tcpListenQueueSize=4096})
addLocal("0.0.0.0:53", {reusePort=true,cpus={2},tcpListenQueueSize=4096})
addLocal("0.0.0.0:53", {reusePort=true,cpus={3},tcpListenQueueSize=4096})

UDPのバッファサイズの調整

UDPの読み書きのバッファのサイズを大きくします。デフォルトはカーネルパラメータの net.core.rmem_default、net.core.wmem_default になります。なのでsysctlで設定することもできます。

setUDPSocketBufferSizes(8388608,8388608)

カーネルパラメータの net.core.rmem_max、net.core.wmem_maxが設定できる最大値となります。

複数のUDPによるクエリを1度のシステムコールで読み込む

recvmmsg(2) を使うことで1度のシステムコールで複数のUDPによるクエリを読み込むことができます。　setUDPMultipleMessagesVectorSize はその最大個数を指定します。

setUDPMultipleMessagesVectorSize(100)

デフォルトは1で、通常の recvmsg(2) を使います。

ベンチマークの効果

さくらのクラウドの8コアの仮想サーバにて自作のDNS水責めベンチマークツールを使い検証を行いました。

dnsdistのみの検証のため、設定に

addAction(
  AllRule(),
  RCodeAction(DNSRCode.REFUSED)
)

を設定し、すべてのクエリに即時 REFUSED を返すように設定してあります。

初期状態

Listenerスレッドが1個の状態です。

# GOGC=500 ./prsd-bench4 -P 53 -H 192.168.10.50 --max-workers 1000 --max-length 8 --label 1 --zone example.com 2> /dev/null
2023-05-24 16:09:52.842209747 +0900 JST m=+10.002875416 resolved: 0.000000 query/sec, refused 231067.300000 query/sec, failed 72.200000 query/sec
2023-05-24 16:10:02.842144106 +0900 JST m=+20.002809775 resolved: 0.000000 query/sec, refused 220423.400000 query/sec, failed 144.400000 query/sec
2023-05-24 16:10:12.842143685 +0900 JST m=+30.002809354 resolved: 0.000000 query/sec, refused 230264.600000 query/sec, failed 144.400000 query/sec
2023-05-24 16:10:22.84215706 +0900 JST m=+40.002822729 resolved: 0.000000 query/sec, refused 220053.900000 query/sec, failed 144.400000 query/sec
2023-05-24 16:10:32.842160142 +0900 JST m=+50.002825810 resolved: 0.000000 query/sec, refused 227706.300000 query/sec, failed 144.400000 query/sec
2023-05-24 16:10:42.840047568 +0900 JST m=+60.000713237 resolved: 0.000000 query/sec, refused 232174.600000 query/sec, failed 144.400000 query/sec

20万qps以上は出ていますが、エラーもちらほらあります。

チューニング後

listenerスレッドを仮想コア数と同じ8個として、紹介したチューニングを全て入れている状態です。

# GOGC=500 ./prsd-bench4 -P 53 -H 192.168.10.50 --max-workers 1000 --max-length 8 --label 1 --zone example.com 2> /dev/null
2023-05-24 16:21:29.396835468 +0900 JST m=+10.001673734 resolved: 0.000000 query/sec, refused 417461.100000 query/sec, failed 0.000000 query/sec
2023-05-24 16:21:39.396746836 +0900 JST m=+20.001585106 resolved: 0.000000 query/sec, refused 445043.800000 query/sec, failed 0.000000 query/sec
2023-05-24 16:21:49.396666734 +0900 JST m=+30.001505003 resolved: 0.000000 query/sec, refused 431644.600000 query/sec, failed 0.000000 query/sec
2023-05-24 16:21:59.396818157 +0900 JST m=+40.001656423 resolved: 0.000000 query/sec, refused 438897.200000 query/sec, failed 0.000000 query/sec
2023-05-24 16:22:09.396665403 +0900 JST m=+50.001503669 resolved: 0.000000 query/sec, refused 440108.300000 query/sec, failed 0.000000 query/sec
2023-05-24 16:22:19.395664578 +0900 JST m=+60.000502848 resolved: 0.000000 query/sec, refused 425201.300000 query/sec, failed 0.000000 query/sec

エラーなく40万qps以上処理できるようになりました。

まとめ

権威DNSサーバであるNSDでは、UDPのバッファサイズ、recvmmsgの利用などはデフォルトで行われており、dnsdistパフォーマンスの調査をするにあたり参考にしました。

www.nlnetlabs.nl

この記事がDNSサーバのパフォーマンスで困った際にお役に立てれば幸いです。

Managing Mission - Critical Domains and DNS: Demystifying nameservers, DNS, and domain names

• 作者:Jeftovic, Mark E.
• Packt Publishing

Amazon

Learning CoreDNS: Configuring DNS for Cloud Native Environments

• 作者:Belamaric, John,Liu, Cricket
• O'Reilly Media

Amazon

YAPC::Kyoto 2023の採択トークが決まったようですね。面白そうなトークが沢山あってすごいですね。

blog.yapcjapan.org

私のトークも採択されました。ありがとうございます。ありがとうございます！！

こういう話をします。

クラウドファースト、クラウドバイデフォルトなどと言われるようにクラウドサービス前提にシステムの構築運用がなっています。インターネットにおける重要な基盤技術のひとつであるDNSにおいてもクラウドサービスが使われるようになっています。

本トークでは、さくらのクラウドのDNSアプライアンスサービスに行われたDNS水責め攻撃と呼ばれるDDoS攻撃の内容およびその対策について紹介します。また、対策にあたって作成したDNSサーバへ負荷をかけるベンチマーカを題材にハイパフォーマンスなベンチマーカを作る上で必要な要素も紹介します。

アジェンダ
* さくらのクラウド DNSアプライアンスとは(Perlも使っているよ)
* DNS水責め攻撃とその実際
* GoによるハイパフォーマンスなDNSのベンチマーカ作成

この話は、JANOG51 Meetingにて発表して内容に関連しているものとなります。資料の公開もしていますので、ぜひご覧ください。

speakerdeck.com

発表のアーカイブ動画もこちらで公開されています。

www.janog.gr.jp

チケットを買ってくれ

それはそうとして、そんなYAPC::Kyoto 2023ですがチケット販売が今月1月の31日までとなっています。

passmarket.yahoo.co.jp

今月中にチケットを買わないと参加ができないのです！　今、まさにこの瞬間、すぐに買いましょう！！！！！ 豪華ノベルティがついてくる個人スポンサーチケットは残席わずかとのこと！！

買いましたか？買いましたね。それでは会場でお会いいたしましょう！

yapcjapan.org

今回会場となる、京都リサーチパークは以前働いていた場所で、そちらに久しぶりに行って、エンジニア仲間と会い、またしゃべれる機会があるということで非常に楽しみにしております。YAPC::Kyoto今からワクワクが止まりません！！

オマージュ元

tamamemo.hatenablog.com

さくらのアドベントカレンダー2022 13日目の記事です。

qiita.com

サーバ運用を行なっていると、非同期で行われるサーバの設定反映や起動を待ったり、メンテナンス後に監視を再開する前にすこし待つなんてこともあるかと思います。

そんな時に、人力で3分待ったらコマンドを打つ、Webコンソールを操作するなんてやっていると人間「必ず」忘れます。監視のメンテナンスモードの解除などを忘れてしまうとそれこそ事故につながります。チェックリストを利用した対策もありますが、技術的に解決するのが望ましい姿です。

そこで、よくやってきたのがsleepコマンドと組み合わせて

sleep 180 && mkr update --st working 

とする方法。(サンプルとしてMackerelでサーバのステータスを変更しています）

このように実行しておけば、自動で3分後にmkrコマンドが実行され、サーバの監視をもとに戻してくれます。この方法をしばしば使っていたのですが、ひとつだけ不満がありました。

それは、今どれくらいsleepしたのか分からない、あとどれくらいでmkrコマンドが動くのかを知りたいというものです。

date && sleep 180 && mkr update --st working 

このようにdateコマンドを最初に実行すれば、あとどれくらいだろーと気になった時にターミナルに表示された時間と今の時間と見比べれば、あとどれくらいで完了するのかわかるかもしれません。が、もう少し怠惰にしたいです。

ということで、なんか作るかなと思いつつ、twitterでぼやいてみました。

プログレスバーがでるsleepコマンドがほしい

— 達人が教えるつぶあん🇺🇦 (@kazeburo) 2022年9月7日

すると、わずか19分後に完成していました。チャットAIさんもびっくりな速さです

眠たいので sleepy コマンド作った。 pic.twitter.com/9hP8cwUmKt

— mattn (@mattn_jp) 2022年9月7日

mattnさん速すぎです。

せっかくなので、自分の利用に合うように、小数点を含む秒数、infinityのサポートと経過時間の表示を追加してもらい、お仕事でも使ってます。

以下は監視を一時的に止めつつ、さくらのクラウドでサーバのスペックを変更する例。

mkr update --st maintenance <hostId>
usacloud server shutdown <hostID> —zone <zone> -y
usacloud server update <hostID> --zone <zone> --cpu 3 --memory 4 -y
usacloud server boot <hostID>--zone <zone> -y
sleepy 360
mkr update --st working <hostId>

複数台のサーバのスペックを変更していくような場合には状況が可視化されていると、心理的安全性高く作業にあたれますね。