home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / internet-drafts / draft-ietf-dns-common-errors-01.txt < prev    next >
Encoding:
Text File  |  1993-08-11  |  21.1 KB  |  574 lines
  1. INTERNET DRAFT                           Anant Kumar
  2. Expiration Date: February 13, 1994               Jon Postel
  3.                                Cliff Neuman
  4.                                USC/ISI
  5.  
  6.                                Peter Danzig
  7.                                Steve Miller
  8.                                USC
  9.                                July 1993
  10.  
  11.         Common DNS errors and suggested fixes.
  12.  
  13. Status of this Memo
  14.  
  15. This document is an Internet-Draft.  Internet-Drafts are working
  16. documents of the Internet Engineering Task Force (IETF), its Areas, and
  17. its Working Groups.  Note that other groups may also distribute working
  18. documents as Internet-Drafts. Internet-Drafts are draft documents valid
  19. for a maximum of six months.  Internet-Drafts may be updated, replaced,
  20. or obsoleted by other documents at any time.  It is not appropriate to
  21. use Internet-Drafts as reference material or to cite them other than as
  22. a ``working draft'' or ``work in progress.''
  23.  
  24. To learn the current status of any Internet-Draft, please check the
  25. 1id-abstracts.txt listing contained in the Internet-Drafts Shadow
  26. Directories on ds.internic.net, nic.nordu.net, ftp.nisc.sri.com, or
  27. munnari.oz.au.
  28.  
  29. This Internet Draft expires February 13, 1994.
  30.  
  31. Abstract
  32.  
  33. This memo describes common errors seen in DNS implementations and
  34. suggests some fixes. Where applicable, violations of recommendations
  35. from RFC 1034 and RFC 1035 are mentioned. The memo also describes,
  36. where relevant, the algorithms followed in BIND (versions 4.8.3 and 4.9
  37. which the authors referred to) to serve as an example.
  38.  
  39. Introduction
  40.  
  41. The last few years have seen, virtually, an explosion of DNS traffic on
  42. the NSFnet backbone. Various DNS implementations and various versions
  43. of these implementations interact with each other, producing huge
  44. amounts of unnecessary traffic. Attempts are being made by researchers
  45. all over the internet, to document the nature of these interactions,
  46. the symptomatic traffic patterns and to devise remedies for the sick
  47. pieces of software.
  48.  
  49. This draft is an attempt to document fixes for known DNS problems so
  50. people know what problems to watch out for and how to repair broken
  51. software.
  52.  
  53.                                     [Page 1]
  54.  
  55. USC/ISI                        Kumar, Postel, Neuman
  56.                            Danzig, Miller
  57.  
  58. 1. Fast Retransmissions.
  59.  
  60. DNS implements the classic request-response scheme of client-server
  61. interaction. UDP is, therefore, the chosen protocol for communication
  62. though TCP is used for zone transfers. The onus of requerying in case
  63. no response is seen in a "reasonable" period of time, lies with the
  64. client. Although RFC 1034 and 1035 do not recommend any retransmission
  65. policy, RFC1035 does recommend that the resolvers should cycle through
  66. a list of servers. Both name servers and stub resolvers should,
  67. therefore, implement some kind of a retransmission policy based on
  68. round trip time estimates of the name servers. The client should
  69. back-off exponentially, probably to a maximum timeout value.
  70.  
  71. However, clients might not implement either of the two. They might not
  72. wait a sufficient amount of time before retransmitting or they might
  73. not back-off their inter-query times sufficiently.
  74.  
  75. Thus, what the server would see will be a series of queries from the
  76. same querying entity, spaced very close together. Of course, a
  77. correctly implemented server discards all duplicate queries but the
  78. queries contribute to wide-area traffic, nevertheless.
  79.  
  80. We classify a retransmission of a query as a pure Fast retry timeout
  81. problem when a series of query packets meet the following conditions.
  82.  
  83.  a. Query packets are seen within a time less than a "reasonable
  84.     waiting period" of each other.
  85.  b. No response to the original query was seen i.e. we see two or
  86.     more queries, back to back.
  87.  c. The query packets share the same query identifier.
  88.  d. The server eventually reponds to the query.
  89.  
  90. A GOOD IMPLEMENTATION:
  91.  
  92. BIND (we looked at versions 4.8.3 and 4.9) implements a good
  93. retransmission algorithm which solves or limits all of these problems.
  94. The Berkeley resolver queries servers at an interval that starts at the
  95. greater of 4 seconds and 5 seconds divided by the number of servers the
  96. resolver queries. The resolver cycles through servers and at the end of
  97. a cycle, backs off the time out exponentially.
  98.  
  99. The Berkeley name-server starts with a time-out equal to the greater of
  100. 4 seconds and two times the round-trip time estimate of the server.
  101. The time-out is backed off with each cycle, exponentially, to a ceiling
  102. value of 45 seconds.
  103.  
  104. FIXES:
  105.  
  106.   a. Estimate round-trip times or set a reasonably high initial
  107.      time-out.
  108.  
  109.   b. Back-off timeout periods exponentially.
  110.  
  111.                                     [Page 2]
  112.  
  113. USC/ISI                           Kumar, Postel, Neuman
  114.                            Danzig, Miller
  115.  
  116.   c. Yet another fundamental though difficult fix is to send the client
  117.      an acknowledgement of a query, with a round-trip time estimate.
  118.  
  119. Since UDP is used, no response is expected by the client until the
  120. query is complete.  Thus, it is less likely to have information about
  121. previous packets on which to estimate its back-off time.  Unless, you
  122. maintain state across queries, so subsequent queries to the same server
  123. use information from previous queries.  Unfortunately, such estimates
  124. are likely to be inaccurate for chained requests since the variance is
  125. likely to be high.
  126.  
  127. The fix chosen in the ARDP library used by Prospero is that the server
  128. will send an initial acknowledgement to the client in those cases where
  129. the server expects the query to take a long time (as might be the case
  130. for chained queries).  This initial acknowledgement can include an
  131. expected time to wait before retrying.
  132.  
  133. This fix is more difficult since it requires that the client software
  134. also be trained to expect the acknowledgement packet. This, in an
  135. internet of millions of hosts is at best a hard problem.
  136.  
  137. 2. Recursion Bugs
  138.  
  139. When a server receives a client request, it first looks up its zone
  140. data and the cache to check if the query can be answered. If the answer
  141. is unavailable in either place, the server seeks names of servers that
  142. are more likely to have the information, in its cache or zone data. It
  143. then does one of two things. If the client desires the server to
  144. recurse and the server architecture allows recursion, the server chains
  145. this request to these known servers closest to the queried name. If the
  146. client doesn't seek recursion or if the server cannot handle recursion,
  147. it returns the list of name servers to the client assuming the client
  148. knows what to do with these records.
  149.  
  150. The client queries this new list of name servers to get either the
  151. answer, or names of another set of name servers to query. This process
  152. repeats until the client is satisfied. Servers might also go through
  153. this chaining process if the server returns a CNAME record for the
  154. queried name. Some servers reprocess this name to try and get the
  155. desired record type.
  156.      
  157. However, in certain cases, this chain of events may not be good. For
  158. example, a broken or malicious name server might list itself as one of
  159. the name servers to query again. The unsuspecting client resends the
  160. same query to the same server.
  161.  
  162. In another situation, more difficult to detect, a set of servers might
  163. form a loop wherein A refers to B and B refers to A. This loop might
  164. involve more than two servers.
  165.  
  166. Yet another error is where the client does not know how to process the
  167. list of name servers returned, and requeries the same server since that
  168.  
  169.                                     [Page 3]
  170.  
  171. USC/ISI                           Kumar, Postel, Neuman
  172.                            Danzig, Miller
  173.  
  174. is one (of the few) servers it knows.
  175.  
  176. We, therefore, classify recursion bugs into three distinct categories:
  177.  
  178.  a. Ignored referral: Client did not know how to handle NS records in
  179.     the AUTHORITY section.
  180.  
  181.  b. Too many referrals: Client called on a server too many times,
  182.     beyond a "reasonable" number, with same query. This is different
  183.     from a Fast retransmission problem and a Server Failure
  184.     detection problem in that a response is seen for every query.
  185.     Also, the identifiers are always different. It implies client is
  186.     in a loop and should have detected that and broken it. (RFC 1035
  187.     mentions that client should not recurse beyond a certain depth)
  188.  
  189.  c. Malicious Server: a server refers to itself in the authority
  190.     section. If a server does not have an answer now, it is very
  191.     unlikely it will be any better the next time you query it,
  192.     specially when it claims to be authoritative over a domain.
  193.  
  194.  RFC 1034 warns against such situations, on page 35.
  195.  
  196.  "Bound the amount of work (packets sent, parallel processes
  197.   started) so that a request can't get into an infinite loop or
  198.   start off a chain reaction of requests or queries with other
  199.   implementations EVEN IF SOMEONE HAS INCORRECTLY CONFIGURED
  200.   SOME DATA."
  201.  
  202. A GOOD IMPLEMENTATION:
  203.  
  204. BIND fixes at least one of these problems. It places an upper limit on
  205. the number of recursive queries it will make, to answer a question.  It
  206. chases a maximum of 20 referral links and 8 canonical name
  207. translations.
  208.  
  209. FIXES:
  210.  
  211.  a. Set an upper limit on the number of referral links and CNAME links
  212.     you are willing to chase.
  213.  
  214.     Note that this is not guaranteed to break only recursion loops. It
  215.     could, in a rare case, prune off a very long search path,
  216.     prematurely.  We know, however, with high probability, that if
  217.     the number of links cross a certain metric (two times the depth
  218.     of the DNS tree), it is a recursion problem.
  219.  
  220.  b. Watch out for self-referring servers. Avoid them whenever
  221.     possible.
  222.  
  223.  c. Make sure you never pass off an authority NS record with your own
  224.     name on it!
  225.  
  226.                                     [Page 4]
  227.  
  228. USC/ISI                         Kumar, Postel, Neuman
  229.                             Danzig, Miller
  230.  
  231.  d. Fix clients to accept iterative answers from servers not built to
  232.     provide recursion. Such clients should either be happy with the
  233.     non-authoritative answer or be willing to chase the referral links
  234.     themselves.
  235.  
  236. 3. Zero Answer Bugs:
  237.  
  238. Name servers sometimes return an authoritative NOERROR with no ANSWER,
  239. AUTHORITY or ADDITIONAL records. This happens when the queried name is
  240. valid but it does not have a record of the desired type. Of course, the
  241. server has authority over the domain.
  242.  
  243. However, once again, some implementations of resolvers do not interpret
  244. this kind of a response reasonably. They always expect an answer record
  245. when they see an authoritative NOERROR. These entities continue to
  246. resend their queries, possibly endlessly.
  247.  
  248. A GOOD IMPLEMENTATION.
  249.  
  250. BIND resolver code does not query a server more than 3 times. If it is
  251. unable to get an answer from 4 servers, querying them three times each,
  252. it returns error.
  253.  
  254. Of course, it treats a zero-answer response the way it should be
  255. treated; with respect!
  256.  
  257. FIXES:
  258.  
  259.  a. Set an upper limit on the number of retransmissions for a given
  260.     query, at the very least.
  261.  
  262.  b. Fix resolvers to interpret such a response as an authoritative
  263.     statement of non-existence of the record type for the given name.
  264.  
  265. 4. Inability to detect server failure:
  266.  
  267. Servers in the internet are not very reliable (they go down every once
  268. in a while) and resolvers are expected to adapt to the changed scenario
  269. by not querying the server for a while. Thus, when a server does not
  270. respond to a query, resolvers should try another server.  Also,
  271. non-stub resolvers should update their round trip time estimate for the
  272. server to a large value so that server is not tried again before other,
  273. faster servers.
  274.  
  275. Stub resolvers, however, cycle through a fixed set of servers and if,
  276. unfortunately, a server is down while others do not respond for other
  277. reasons (high load, recursive resolution of query is taking more time
  278. than the resolver's time-out, ....), the resolver queries the dead
  279. server again! In fact, some resolvers might not set an upper limit on
  280. the number of query retransmissions they will send and continue to
  281. query dead servers indefinitely.
  282.  
  283.  
  284.                                     [Page 5]
  285.  
  286. USC/ISI                         Kumar, Postel, Neuman
  287.                             Danzig, Miller
  288.  
  289. Name servers running system or chained queries might also suffer from
  290. the same problem. They store names of servers they should query for a
  291. given domain. They cycle through these names and in case none of them
  292. answers, hit each one more than one. It is, once again, important that
  293. there be an upper limit on the number of retransmissions, to prevent
  294. network overload.
  295.  
  296. This behavior is clearly in violation of the dictum in RFC1035 (p 46)
  297.  
  298.  "If a resolver gets a server error or other bizarre response
  299.   from a name server, it should remove it from SLIST, and may
  300.   wish to schedule an immediate transmission to the next
  301.   candidate server address."
  302.  
  303. Removal from SLIST implies that the server is not queried again for
  304. some time.
  305.  
  306. Correctly implemented name servers should, as pointed out before,
  307. update round trip time values for servers that do not respond and query
  308. them only after other, good servers. Servers might, however, not follow
  309. any of these common sense directives. They query dead servers, and they
  310. query them endlessly.
  311.  
  312. A GOOD IMPLEMENTATION:
  313.  
  314. BIND places an upper limit on the number of times it queries a server.
  315. Both the resolver and the name server code do this. Also, since the
  316. server estimates round-trip times and sorts name server addresses by
  317. these estimates, it does not query a dead server again, until and
  318. unless all the other servers in the list are dead too!  Further, BIND
  319. implements exponential back-off too.
  320.  
  321. FIXES:
  322.  
  323.  a. Set an upper limit on number of retransmissions.
  324.  
  325.  b. Measure round-trip time from servers (some estimate is better than
  326.     none). Treat no response as a "very large" round-trip time.
  327.  
  328.  c. Maintain a weighted rtt estimate and decay the "large" value
  329.     slowly, with time, so that the server is eventually tested again,
  330.     but not after an indefinitely long period.
  331.  
  332.  d. Follow an exponential back-off scheme so that even if you do not
  333.     restrict the number of queries, you do not overload the net
  334.     excessively.
  335.  
  336. 5. Cache Leaks:
  337.  
  338. Every resource record returned by a server is cached for TTL seconds,
  339. where the TTL value is returned with the RR. Servers (not
  340. stub-resolvers) cache the RR and answer any queries based on this
  341.  
  342.                                     [Page 6]
  343.  
  344. USC/ISI                         Kumar, Postel, Neuman
  345.                             Danzig, Miller
  346.  
  347. cached information, in the future, until the TTL expires. After that,
  348. one more query to the wide-area network gets the RR in cache again.
  349.  
  350. Servers might not implement this caching mechanism well. They might
  351. impose a limit on the cache size or might not interpret the TTL value
  352. correctly. In either case, queries repeated within a TTL period of a RR
  353. constitute a cache leak.
  354.  
  355. A GOOD/BAD IMPLEMENTATION:
  356.  
  357. BIND has no restriction on the cache size and the size is governed by
  358. the limits on the virtual address space of the machine it is running
  359. on. BIND caches RRs for the duration of the TTL returned with each
  360. record.
  361.  
  362. It does, however, not follow the RFCs with respect to interpretation of
  363. a 0 TTL value. If a record has a TTL value of 0 seconds, BIND uses the
  364. minimum TTL value, for that zone, from the SOA record and caches it for
  365. that duration. This, though it saves some traffic on the wide-area
  366. network, is not correct behavior.
  367.  
  368.  
  369. FIXES:
  370.  
  371.  a. Look over your caching mechanism to ensure TTLs are interpreted
  372.     correctly.
  373.  
  374.  b. Do not restrict cache sizes (come on, memory is cheap!). Expired
  375.     entries are reclaimed periodically, anyway. Of course, the cache
  376.     size is bound to have some physical limit. But, when possible,
  377.     this limit should be large (run your name server on a machine
  378.     with a large amount of physical memory).
  379.  
  380.  c. Possibly, a mechanism is needed to flush the cache, when it is
  381.     known or even suspected that the information has changed.
  382.  
  383. 6. Name Error Bugs:
  384.  
  385. This bug is very similar to the Zero Answer bug. A server returns an
  386. authoritative NXDOMAIN when the queried name is known to be bad, by the
  387. server authoritative for the domain, in the absence of negative
  388. caching. This authoritative NXDOMAIN response is usually accompanied
  389. by the SOA record for the domain, in the authority section.
  390.  
  391. Resolvers should recognize that the name they queried for was a bad
  392. name and should stop querying further.
  393.  
  394. Some resolvers might, however, not interpret this correctly and
  395. continue to query servers, expecting an answer record.
  396.  
  397. Some applications, in fact, prompt NXDOMAIN answers! When given a
  398. perfectly good name to resolve, they append the local domain to it e.g.
  399.  
  400.                                     [Page 7]
  401.  
  402. USC/ISI                         Kumar, Postel, Neuman
  403.                             Danzig, Miller
  404.  
  405. a resolver in the domain "foo.bar.com", when trying to resolve the name
  406. "usc.edu" first tries "usc.edu.foo.bar.com", then "usc.edu.bar.com" and
  407. finally the good name "usc.edu". This causes at least two queries that
  408. return NXDOMAIN, for every good query. The problem is aggravated since
  409. the negative answers from the previous queries are not cached. When the
  410. same name is sought again, the process repeats.
  411.  
  412. Some DNS resolver implementations suffer from this problem, too. They
  413. append the local domain to a name, when certain conditions are satisfied
  414. and try the original name, only when this first iteration fails.
  415.  
  416. GOOD/BAD IMPLEMENTATIONS:
  417.  
  418. Some local versions of BIND already implement negative caching. They
  419. typically cache negative answers with a very small TTL, sufficient to
  420. answer a burst of queries spaced close together, as is typically seen.
  421.  
  422. The next official public release of BIND (4.9.2) will have negative
  423. caching as an ifdef'd feature.
  424.  
  425. The BIND resolver appends local domain to the given name, when one of
  426. two conditions is met:
  427.  
  428.     i.  The name has no periods and the flag RES_DEFNAME is set.
  429.     ii. There is no trailing period and the flag RES_DNSRCH is set.
  430.  
  431. The flags RES_DEFNAME and RES_DNSRCH are default resolver options, in
  432. BIND, but can be changed at compile time.
  433.  
  434. Only if the name, so generated, returns an NXDOMAIN is the original name
  435. tried as a Fully Qualified Domain Name. And only if it contains at least
  436. one period.
  437.  
  438. FIXES:
  439.  
  440.  a. Fix the resolver code.
  441.  
  442.  b. Negative Caching. Negative caching servers will restrict the
  443.     traffic seen on the wide-area network, even if not curb it
  444.     altogether.
  445.  
  446.  c. Applications and resolvers should not append the local domain to
  447.     names they seek to resolve, as far as possible. Names interspersed
  448.     with periods should be treated as Fully Qualified Domain Names.
  449.     Only Single label names and names with periods that return NXDOMAIN
  450.     answers should be appended with the local domain and tried.
  451.  
  452. Associated with the name error bug is another problem where a server
  453. might return an authoritative NXDOMAIN, although the name is valid. A
  454. secondary server, on start-up, reads the zone information from the
  455. primary, through a zone transfer. While it is in the process of loading
  456. the zones, it does not have information about them, although it is
  457.  
  458.                                     [Page 8]
  459.  
  460. USC/ISI                         Kumar, Postel, Neuman
  461.                             Danzig, Miller
  462.  
  463. authoritative for them.  Thus, any query for a name in that domain is
  464. answered with an NXDOMAIN response code. This problem might not be
  465. disastrous were it not for negative caching servers that cache this
  466. answer and so propagate incorrect information over the internet.
  467.  
  468. BAD IMPLEMENTATION:
  469.  
  470.  BIND apparently suffers from this problem.
  471.  
  472. Also, a new name added to the primary database will take a while to 
  473. propagate to the secondaries. Until that time, they will return NXDOMAIN
  474. answers for a good name. Negative caching servers store this answer, too
  475. and aggravate this problem further. This is probably a more general DNS 
  476. problem but is apparently more harmful in this situation.
  477.  
  478. FIX:
  479.  
  480.  a. Servers should start answering only after loading all the zone
  481.     data. A failed server is better than a server handing out
  482.     incorrect information.
  483.  
  484.  b. Negative cache records for a very small time, sufficient only to
  485.     ward off a burst of requests for the same bad name. This could be
  486.     related to the round-trip time of the server from which the negative
  487.     answer was received. Alternatively, a statistical measure of the
  488.     amount of time for which queries for such names are received could
  489.     be used. Minimum TTL value from the SOA record is not advisable
  490.     since they tend to be pretty large.
  491.  
  492.  c. A "PUSH" (or, at least, a "NOTIFY") mechanism should be allowed and
  493.     implemented, to allow the primary server to inform secondaries that
  494.     the database has been modified since it last transferred zone data.
  495.     To alleviate the problem of "too many zone transfers" that this 
  496.     might cause, Incremental Zone Transfers should also be part of DNS.
  497.     Also, the primary should not NOTIFY/PUSH with every update but bunch
  498.     a good number together.
  499.  
  500. 7. Format Errors:
  501.  
  502. Some resolvers issue query packets that do not necessarily conform to
  503. standards as laid out in the relevant rfcs. This unnecessarily
  504. increases net traffic and wastes server time.
  505.  
  506. FIXES:
  507.  
  508.  a. Fix resolvers.
  509.  
  510.  b. Each resolver verify format of packets before sending them out,
  511.     using a mechanism outside of the resolver. This is, obviously,
  512.     needed only if step 1 cannot be followed.
  513.  
  514.                                     [Page 9]
  515.  
  516. USC/ISI                         Kumar, Postel, Neuman
  517.                             Danzig, Miller
  518.  
  519. Authors' Addresses:
  520.  
  521. Anant Kumar, Jon Postel, Cliff Neuman        Peter Danzig, Steve Miller
  522. <anant, postel, bcn>                <danzig, smiller>        
  523.  @isi.edu                        @caldera.usc.edu 
  524.  
  525. USC Information Sciences Institute          Computer Science Department
  526. 4676 Admiralty Way                    Univ. of Southern California
  527. Marina Del Rey CA 90292-6695            University Park
  528.                         Los Angeles CA 90089
  529. Phone:(310) 822-1511
  530. FAX:  (310) 823-6714
  531.  
  532.  
  533. This Internet Draft expires February 13, 1994. 
  534.  
  535.  
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562.  
  563.  
  564.  
  565.  
  566.  
  567.  
  568.  
  569.  
  570.  
  571.                                    [Page 10]
  572.  
  573.  
  574.