一部のドメインでDNSがタイムアウトしています

一部のドメインでDNSがタイムアウトしています

一部のサービスでは読み込みに非常に長い時間がかかるものの、読み込みが始まると通常の速度で実行されるという奇妙な問題があります。私が見つけた最も一貫した例は soundcloud です。soundcloud.com にアクセスすると、ページは通常どおりに読み込まれますが、曲を再生すると非常に長い時間読み込みが止まってしまいます。Firefox のネットワーク タブで読み込みが止まっているのがわかります。cf-hls-media.sndcdn.com

ドメインを手動で検索しようとしたところ、

user@desktop:~$ nslookup cf-hls-media.sndcdn.com
;; connection timed out; no servers could be reached

ISP のサーバーから DNS を変更しましたが8.8.8.8 8.8.4.4、同じ問題がまだあります。DNS は変更されたようで、ISP のサーバーでブロックされていた一部のドメインは再び機能していませんが、soundcloud や他の多くのドメインで同じ問題がまだ発生しています (通常は機能するものと機能しないものが同じであるようです。通常、CDN は壊れたドメインであるようです)

速度テストと ping テストでは、すべて正常に動作していることが示されているため、ここから何をすればよいのかよくわかりません。

編集:さらにいくつかテストを行ったところ、nslookup はタイムアウトしますが、dig はドメインを見つけることがわかりました。

答え1

ネットワークが故意に DNS に悪影響を与えている場合は、のフォールバック トンネル サポートを使用してみてくださいdnssec-trigger。これには、ポート TCP 443 経由の暗号化トンネルが含まれます。アップストリーム プロジェクトは、ベスト エフォート ベースでデフォルトのトンネル エンドポイントを提供します。たとえば、アップストリーム プロジェクトでは、ssl443のを参照してくださいexample.conf.in

私はこれについて文書化されたものしか見たことがありません。フォールバック トンネリングを使用したことはありません。dnssec-trigger は、使用している方法、つまりフォールバックがアクティブであるかどうかをログに記録する必要があります。dnssec-trigger は、フォールバックをトリガーするものを正確に文書化していないようですし、フォールバックの使用を強制する方法も文書化していないようです。

これにより、検証 DNSSEC リゾルバを使用するようにも切り替わります。DNSSEC を設定したが、間違った設定になっているドメインや、何らかの理由で DNSSEC が機能しなくなったドメインは失敗します。これは、説明されている問題よりもかなり少ない頻度で発生するはずです。

関連情報