Google down?

dantasik · 2021-03-17T17:19:00+00:00

Pozoruje někdo problémy?U zakazniku ktery si nastavili 8.8.8.8 tak jim to přestalo fungovat a nejde ani ping. Na downdetectoru je videt ze nejake vypadky maj...

zero

OT: vy co používáte OpenDNS resolvery, jak řešíte jako poskytovatel tohle:

https://www.mfcr.cz/assets/cs/media/Zverejnovane-udaje-ze-Seznamu-nepovolenych-internetovych-her_v18.pdf

coolerman1

My mame 2xsk a 1xcz peering s nešlo tiež asi 10minut

macek

https://www.novinky.cz/internet-a-pc/clanek/desitky-webu-postihl-vypadek-kvuli-googlu-40354306#dop_ab_variant=0&dop_source_zone_name=novinky.sznhp.box&dop_req_id=jGj64lZHGGL-202103171950&source=hp&seq_no=3&utm_campaign=&utm_medium=z-boxiku&utm_source=www.seznam.cz
Twitter prakticky okamžitě zaplavily zprávy uživatelů, kteří si stěžovali, že „nefunguje vůbec nic“. I to jasně ukazuje, jak je svět internetu křehký a jak jsou jednotlivé webové služby propojené, i když si to uživatelé na první pohled ani neuvědomují.

jopo

macek a tiež ze keď kliosovi nejde jedna služba tak nejde celý Internet...

zdeneksvarc

redmax když už jsme u toho DNS, jaké DNS servery využíváte kromě 8.8.8.8? :-)

https://1.1.1.1
- 1.1.1.1
- 1.0.0.1 (ping 1.1)
https://www.quad9.net
- 9.9.9.9
- 149.112.112.112
https://www.opendns.com
- 208.67.222.222
- 208.67.220.220

okoun

proč někdo dáváte vůbec cizí DNS (8888) do produkčního provozu? tohle není dobrý nápad, pokud mám svoje dva DNS servery, tak prakticky nemůže dojít k úplnému výpadku služby DNS a to ještě dnes je tu třeba WHALEBONE, kde může mít kvalitní DNS server za pár korun úplný laik...

ekrajnak

Plne súhlasím, minule som robil jednoduchú štatistiku z nášho Bindu:

Recursive DNS server at ISP for SOHO customers: cache efficiency for A records resolving - 88% using 270MB of memory at 500 req/s
https://twitter.com/BlazejKrajnak/status/1363191419658260480

Ak je server správne nekonfigurovaný, má zaručene najnižšiu latenciu (hlavne my z východu SR to už cítime). Odbaví 88% požiadaviek z cache a navyše pri aplikovaní RFC 7706 môže prežiť aj výpadok root serverov.

suk

Pokud to někoho postihlo nebo prostě jen chce zkusit Whalebone, dám vám plný účet na zkoušku na 3 měsíce.

Neříkám, že jsme bez chyby, i nám se občas něco nepovede, ale na druhé straně se dovoláte/dopíšete na konkrétní lidi.

Z pohledu ceny: min 850 Kč měsíc, do 10.000 přípojek 0,82 Kč/přípojka/měsíc. Neomezený počet resolverů i support v ceně.

Klidně napište na petr.soukenik@whalebone.io. Rád ukážu zevnitř.

myghael

On dneska ještě nějaký ISP jede bez vlastních/pronajatých resolverů a cpe zákazníkům veřejné? 😃

suk

myghael paradoxně v zahraničí mnohem víc než u nás. A dokonce i u firem, do kterých bych to nikdy neřekl. Teď jsem v kontaktu s nejstarším providerem cloudových služeb v USA a vybalil na mě, že používají 8.8.8.8 a 8.8.4.4. V UK je to taky docela běžná praxe

myghael

suk Tak zrovna UK bych tady moc nevytahoval, tam je na většině území problém sehnat linku co REÁLNĚ zvládne po většinu dne jet 10 Mbps alespoň jedním směrem, což v naší zaostalé zemičce zvládne téměř každý poskytovatel téměř kdekoliv. Co je k tomu v tom zahraničí vůbec vede s těmi DNS?

jcltm To je sice bohužel pravda, nicméně tentokrát se svět mohl po**lat z toho, že vypadla jedna jediná z mnoha služeb, co Google provozuje. Kdo nepoužívá 8.8.8.8 / 8.8.4.4 jako jediné DNS, výpadku si ani nevšiml. To není jako JS knihovny a další věci, u kterých se Google intenzivně snaží o vendor lock-in, o jakém si i Apple může nechat jen zdát.

jcltm

Tak ono upřímně když vypadne Google nejede stejně skoro nic. Kupa webů je na tom závislých, už jenom kvůli politice Googlu kdy se např. js knihovny musí povinně tahat od nich a nesmí být uloženy lokálně. U neGoogle knihoven to tak má taky fůra webů i když nemusí.

ludvik

Na druhou stranu ty knihovny mají tak velké TTL, že to problém je jen naprosto výjimečně. Klient ji má v cache s velkou pravděpodobností.

jcltm

ludvik Jj. Ale přesto je dnešní internet na Googlu chtě nechtě závislý...

suk

myghael nemám to podložené daty, jen rozhovory s tamějšími ISPíky. Prosím berte s rezervou. A koho to nezajímá, mou dlouho reakci přeskočte. Trošku jsem ulítl k tématu bezpečnosti 🙂

tl;dr: Je to kvůli jednoduchosti, pohodlnosti a neznalosti. Podobně jako u nás. Postupně se to ale mění. Tam rychleji než tady.

Mám pocit, že u menších sítí s pár stovkami až nižšími tisíci přípojek je uvažování našich CZSK lokálních ISP a UK/USA sítí velmi podobné = velká část jede buď komplet nebo z části přes public DNS. Ostatně i tady v ČR se setkáváme stále se spoustou sítí, kde sice mají "někde nějaký Bind", ale část zákazníků má natvrdo v CPE nastaven přímo od ISP Google. (V UK a USA má o poznání větší podíl CloudFlare resp. OpenDNS).

Důvody se v UK i USA dost podobají:

Zakládají sítě MVP přístupem --> řešíme jen to nejjnutnější, co nemusíme řešit, neřešíme.
Jednoduchost - jako výše.
Neznalost - musíme hodně edukovat, proč mít vlastní DNSka u sebe. To se ale dost posouvá.
Neprovozují vlastní infrastrukturu, na které by rozjeli (např. náš první UK zákazník Purefibre https://youtu.be/AcmF4ZuZ5sc, nás provozuje v Digital Oceanu - což je ale z pohledu přínosů Whalebone neblokuje, protože všichni zákazníci mají veřejky, takže vidí unikátní provoz).
Klasický ISP přístup: "Když to funguje, nebudeme do toho rýpat".

Je ale několik faktorů, které se od našeho trhu liší:

Mnohem větší zastoupení CloudFlare a OpenDNS oproti Googlu = jsou si vědomi nutnosti ochrany sítě na úrovni DNS.
I tlak státní správy na to, aby se na úrovni DNS provozu sítě chránily.
Používá se termín Protective DNS - tlačí to i bezpečnostní komunita ~ zpravodajské služby a tvůrci politik, v USA viz NSA a CISA (https://therecord.media/nsa-and-cisa-promote-pdns-concept nebo https://media.defense.gov/2021/Mar/03/2002593055/-1/-1/0/CSI_PROTECTIVE DNS_UOO117652-21.PDF), v UK NSC https://www.ncsc.gov.uk/information/pdns.
V UK dokonce PDNS na úrovni státní správy provozují centrálně (viz odkaz výše) - je k tomu využitá platforma Nominet NTX - konkurence Whalebone - ale schválně si zkuste vyžádat ceny a trial. Docela by mě zajímala reakce, pokud by ho někomu zpřístupnili.

Pro zajímvost ještě připojuji kritéria, která NSA a CISA daly na PDNS a ve výčtu bylo i OpenDNS aka Cisco Umbrella:

Blocks malware domains
Blocks phishing domains
Malware Domain Generation Algorithm (DGA) protection
Leverages machine learning or other heuristics to augment threat feeds
Content filtering
Supports API access for SIEM integration or custom analytics
Web interface dashboard
Validates DNSSEC
DoH/DoT capable
Enables customizable policies by group, device, or network
Deploys across hybrid architectures

Whalebone všechny tyto kritéria splňuje. Dokonce v řadě ohledů ta kritéria posouváme podstatně dál, než jak je hodnotili. Jediný důvod, že tam nejsme zatím zařazeni i my, že jsme zatím neřešili registraci u US federální vlády.

myghael

suk Na konstatní propagaci mám lehkou alergii, ale díky za delší odpověď. To "content filtering" je sice trošku problematické (skrze již vícekrát propírané blokování i webů, které psaly pravdu, která se jen zrovna nehodila vládnoucí garnituře do krámu - neplést s blokováním dezinformačních webů provozovaných cizími státy), ale do toho už bych v tomto vlákně úplně nezabrušoval.

drakgon

Jen tak ze zvědavosti- to je nové, nebo to měníte za něco jiného? Nebo rusite 60ky?

jcltm

drakgon O téma vedle 😀 A myslím že po sněhu měnili všechno za nRAYe 😉 Hold jeden z mála ISP pro kterého je už i LHG60 zastaralý šrot 😆

k3dt

jcltm určitě ne všechno 😀 a určitě ne šrot. Částečně po sněhu měníme za nray, ale valná většina z nich byly na krátkou vzdálenost = nahradili jsme za cubeac. Tím jak stavíme nové vysílače, tak vzdálenosti zkracujeme. Myslím si že mnohým jiným ISP udělají ještě pár let dobré práce. My ale 60G máme jen na PTMP, na PTP nepoužíváme, tak pro ně nemáme další využití.

drakgon

jcltm omlouvám se... nechápu jak se mi to povedlo

« Předchozí stránka Další stránka »