On Thu, May 18, 2006 at 04:29:16PM +0200, Teun Vink wrote:
Maar waarom vraag je het niet aan Bert Hubert (PowerDNS) zelf, je kan nog nederlands tegen hem praten ook :) Of informeer eens bij XS4all en True, aangezien deze clubs nauw betrokken zijn bij de ontwikkeling van PowerDNS.
Wie zegt dat dat niet gedaan is? :)
Ik :-)
op http://ds9a.nl/tmp/rrd/ kun je wat grafiekjes zien van een caching nameserver, met een redelijke belasting.
Alleen zegt die pagina niets over de gebruikte hardware en de CPU- en memory-belasting die het veroorzaakt...
In tests blijkt dat je wegkomt met 5000qps gemiddeld op een dual xeon met 2G ram. 5000qps gemiddeld houdt in dat pieken naar 10000qps geen problemen opleveren. Op een dual opteron met Solaris 10 hebben we 80000qps gemeten, zonder drops. Alleen hadden we toen wel een park testmachines nodig om zoveel verkeer te genereren. Kabels werden ook wat warm :-) Het lijkt erop dat PowerDNS recursor performance vrijwel een functie is van je geheugenbandbreedte, en dan scoren dual opterons heel erg goed. Je kunt het geheugengebruik van PowerDNS limiteren, praktisch gezien eet een hele drukke recursor ongeveer een gig ram als je ongelimiteerd draait. Het is verstandig jezelf te beperken tot zo'n 5 miljoen cache entries, anders kan iemand plezier hebben met wildcard records en pogen al je ram op te eten. Als er meer vragen zijn hoor ik het graag. Naast performance is PowerDNS ook nog de nameserver die het moeilijkst te spoofen is, zie ook de draft-draft RFC op http://ds9a.nl/rfc/dns-anti-spoofing.html . BIND 8 of 9 draaien is eigenlijk niet verantwoord meer: The calculations above indicate the relative ease with which DNS data can be spoofed. For example, using the formula derived earlier on a domain with a 3600 second TTL, an attacker sending 7000 fake answer packets/s (a rate of 4.5Mb/s), stands a 10% chance of spoofing a record in the first 24 hours, which rises to 50% after a week. For a domain with a TTL of 60 seconds, the 10% level is hit after 24 minutes, 50% after less than 3 hours, 90% after around 9 hours. Groeten, bert -- http://www.PowerDNS.com Open source, database driven DNS Software http://netherlabs.nl Open and Closed source services