Разрешение имени хоста занимает 5 секунд

Question 1

Короткий ответ:

Обходной путь — принудительное glibcповторное использование сокета для поиска записей AAAAи Aпутем добавления строки /etc/resolv.conf:

options single-request-reopen

Реальной причиной этой проблемы может быть:

неправильно настроенный брандмауэр или маршрутизатор (например,Конфигурация брандмауэра Juniper описана здесь.), что приводит к потере AAAADNS-пакетов
ошибка в DNS-сервере

Длинный ответ:

Программы, подобные curlили wgetиспользующие функцию glibcgetaddrinfo(), который пытается быть совместимым как с IPv4, так и с IPv6, параллельно просматривая обе записи DNS. Он не возвращает результат, пока не будут получены обе записи (естьнесколько вопросов, связанных с таким поведением) - это объясняет straceвышесказанное. Когда IPv4 принудительно используется, например, curl -4внутренне gethostbyname(), что запрашивает Aтолько запись.

Из этого tcpdumpмы видим, что:

-> A?В начале отправляются два запроса
-> AAAA?(запрашивается адрес IPv6)
<- AAAAотвечать
-> A?запрашиваю снова адрес IPv4
<- Aполучил ответ
-> AAAA?повторный запрос IPv6
<- AAAAотвечать

Один Aответ по какой-то причине теряется, появляется следующее сообщение об ошибке:

error sending response: host unreachable

Однако мне непонятно, зачем нужен второй AAAAзапрос.

Чтобы убедиться, что у вас та же проблема, вы можете обновить время ожидания в /etc/resolv.conf:

options timeout:3

Сначала создайте текстовый файл спользовательская конфигурация отчета о времени:

cat >./curl-format.txt  <<-EOF
   time_namelookup: %{time_namelookup}\n
      time_connect: %{time_connect}\n
   time_appconnect: %{time_appconnect}\n
     time_redirect: %{time_redirect}\n
  time_pretransfer: %{time_pretransfer}\n
time_starttransfer: %{time_starttransfer}\n
                    ----------\n
time_total: %{time_total}\n
EOF

то отправьте запрос:

$ curl -w "@curl-format.txt" -o /dev/null -s https://example.com

            time_namelookup:  3.511
               time_connect:  3.511
            time_appconnect:  3.528
           time_pretransfer:  3.528
              time_redirect:  0.000
         time_starttransfer:  3.531
                            ----------
                 time_total:  3.531

Есть еще два связанных варианта man resolv.conf:

одиночный запрос (начиная с glibc 2.10)устанавливает RES_SNGLKUP в _res.options. По умолчанию glibc выполняет поиск IPv4 и IPv6 параллельно, начиная с версии 2.9. Некоторые серверы DNS-устройств не могут правильно обрабатывать эти запросы и заставляют запросы истекать по тайм-ауту. Эта опция отключает поведение и заставляет glibc выполнять запросы IPv6 и IPv4 последовательно (за счет некоторого замедления процесса разрешения).

single-request-reopen (начиная с glibc 2.9) Резолвер использует один и тот же сокет для запросов A и AAAA. Некоторое оборудование ошибочно отправляет только один ответ. Когда это происходит, клиентская система будет сидеть и ждать второго ответа. Включение этой опции изменяет это поведение так, что если два запроса с одного и того же порта не обрабатываются правильно, он закроет сокет и откроет новый перед отправкой второго запроса.

Связанные вопросы:

Answer

Короткий ответ:

Обходной путь — принудительное glibcповторное использование сокета для поиска записей AAAAи Aпутем добавления строки /etc/resolv.conf:

options single-request-reopen

Реальной причиной этой проблемы может быть:

неправильно настроенный брандмауэр или маршрутизатор (например,Конфигурация брандмауэра Juniper описана здесь.), что приводит к потере AAAADNS-пакетов
ошибка в DNS-сервере

Длинный ответ:

Программы, подобные curlили wgetиспользующие функцию glibcgetaddrinfo(), который пытается быть совместимым как с IPv4, так и с IPv6, параллельно просматривая обе записи DNS. Он не возвращает результат, пока не будут получены обе записи (естьнесколько вопросов, связанных с таким поведением) - это объясняет straceвышесказанное. Когда IPv4 принудительно используется, например, curl -4внутренне gethostbyname(), что запрашивает Aтолько запись.

Из этого tcpdumpмы видим, что:

-> A?В начале отправляются два запроса
-> AAAA?(запрашивается адрес IPv6)
<- AAAAотвечать
-> A?запрашиваю снова адрес IPv4
<- Aполучил ответ
-> AAAA?повторный запрос IPv6
<- AAAAотвечать

Один Aответ по какой-то причине теряется, появляется следующее сообщение об ошибке:

error sending response: host unreachable

Однако мне непонятно, зачем нужен второй AAAAзапрос.

Чтобы убедиться, что у вас та же проблема, вы можете обновить время ожидания в /etc/resolv.conf:

options timeout:3

Сначала создайте текстовый файл спользовательская конфигурация отчета о времени:

cat >./curl-format.txt  <<-EOF
   time_namelookup: %{time_namelookup}\n
      time_connect: %{time_connect}\n
   time_appconnect: %{time_appconnect}\n
     time_redirect: %{time_redirect}\n
  time_pretransfer: %{time_pretransfer}\n
time_starttransfer: %{time_starttransfer}\n
                    ----------\n
time_total: %{time_total}\n
EOF

то отправьте запрос:

$ curl -w "@curl-format.txt" -o /dev/null -s https://example.com

            time_namelookup:  3.511
               time_connect:  3.511
            time_appconnect:  3.528
           time_pretransfer:  3.528
              time_redirect:  0.000
         time_starttransfer:  3.531
                            ----------
                 time_total:  3.531

Есть еще два связанных варианта man resolv.conf:

одиночный запрос (начиная с glibc 2.10)устанавливает RES_SNGLKUP в _res.options. По умолчанию glibc выполняет поиск IPv4 и IPv6 параллельно, начиная с версии 2.9. Некоторые серверы DNS-устройств не могут правильно обрабатывать эти запросы и заставляют запросы истекать по тайм-ауту. Эта опция отключает поведение и заставляет glibc выполнять запросы IPv6 и IPv4 последовательно (за счет некоторого замедления процесса разрешения).

single-request-reopen (начиная с glibc 2.9) Резолвер использует один и тот же сокет для запросов A и AAAA. Некоторое оборудование ошибочно отправляет только один ответ. Когда это происходит, клиентская система будет сидеть и ждать второго ответа. Включение этой опции изменяет это поведение так, что если два запроса с одного и того же порта не обрабатываются правильно, он закроет сокет и откроет новый перед отправкой второго запроса.

Связанные вопросы:

Question 2

Как говорит @Tombart, задержка вызвана ожиданием тайм-аута разрешения IPv6.

Другой возможный вариант действий — отдать приоритет IPv4 в /etc/gai.conf.

Из комментариев в /etc/gai.conf

#   For sites which prefer IPv4 connections change the last line to
#
precedence ::ffff:0:0/96  100

После изменения gai.confнеобходимо перезапустить любое приложение, использующее библиотеку DNS-распознавателя, чтобы изменения вступили в силу.

Обратите внимание, что если вы используете сервер BIND без подключения IPv6, я советую отключить IPv6 namedи брать адреса IPv6 из корневых ссылок. Очевидно, что он все равно будет пытаться разрешить адреса AAAA.

Итак, для конфигурации BIND,

В /etc/default/bind9 добавьте -4 для адресов IPv4:

OPTIONS="-4 -u bind"

и в /etc/bind/db.root, удалите все строки с корнями DNS AAAA.

Answer

Как говорит @Tombart, задержка вызвана ожиданием тайм-аута разрешения IPv6.

Другой возможный вариант действий — отдать приоритет IPv4 в /etc/gai.conf.

Из комментариев в /etc/gai.conf

#   For sites which prefer IPv4 connections change the last line to
#
precedence ::ffff:0:0/96  100

После изменения gai.confнеобходимо перезапустить любое приложение, использующее библиотеку DNS-распознавателя, чтобы изменения вступили в силу.

Обратите внимание, что если вы используете сервер BIND без подключения IPv6, я советую отключить IPv6 namedи брать адреса IPv6 из корневых ссылок. Очевидно, что он все равно будет пытаться разрешить адреса AAAA.

Итак, для конфигурации BIND,

В /etc/default/bind9 добавьте -4 для адресов IPv4:

OPTIONS="-4 -u bind"

и в /etc/bind/db.root, удалите все строки с корнями DNS AAAA.

Question 3

У меня была похожая проблема при использовании BIND9. Чтобы исправить это, мне нужно было добавить:

filter-aaaa-on-v4 yes;

вариант для моего named.conf.

(Больше информации)

Answer

У меня была похожая проблема при использовании BIND9. Чтобы исправить это, мне нужно было добавить:

filter-aaaa-on-v4 yes;

вариант для моего named.conf.

(Больше информации)

Question 4

На случай, если кто-то ищет curl-format.txt. Вставьте это в свою оболочку, и она создаст для вас файл формата. Оригинальная ссылка у меня не работает. Нашел этот примерздесь

cat >./curl-format.txt  <<-EOF
   time_namelookup: %{time_namelookup}\n
      time_connect: %{time_connect}\n
   time_appconnect: %{time_appconnect}\n
     time_redirect: %{time_redirect}\n
  time_pretransfer: %{time_pretransfer}\n
time_starttransfer: %{time_starttransfer}\n
                    ----------\n
time_total: %{time_total}\n
EOF

Answer

На случай, если кто-то ищет curl-format.txt. Вставьте это в свою оболочку, и она создаст для вас файл формата. Оригинальная ссылка у меня не работает. Нашел этот примерздесь

cat >./curl-format.txt  <<-EOF
   time_namelookup: %{time_namelookup}\n
      time_connect: %{time_connect}\n
   time_appconnect: %{time_appconnect}\n
     time_redirect: %{time_redirect}\n
  time_pretransfer: %{time_pretransfer}\n
time_starttransfer: %{time_starttransfer}\n
                    ----------\n
time_total: %{time_total}\n
EOF

Разрешение имени хоста занимает 5 секунд

решение1

решение2

решение3

решение4

Связанный контент