Часть коннектов идет на неверный IP-адрес DNS-сервера ns1.r01.ru

JD

471

Jet D.

12 марта 2020, 20:18

945

Есть DNS-сервер ns1.r01.ru (это один из двух NSов регистратора R01) с IP-адресом 31.177.80.41

Когда-то давно, у него был другой IP-адрес 89.111.160.32, который сменился много месяцев назад.

Но, было замечено, что часть коннектов идет все равно на 89.111.160.32.

Проверяем пингом с разных локаций:

Ping to: ns1.r01.ru
Checkpoint	Result	min. rtt	avg. rtt	max. rtt	IP
India - Bangalore (inblr01)	OK	170.853	170.993	171.153	31.177.80.41
Australia - Brisbane (aubne03)	Packets lost (100%)				89.111.160.32
United States - Council Bluffs (uscbl01)	OK	144.816	145.038	145.596	31.177.80.41
India - Chennai (inche01)	Packets lost (10%)	203.587	203.748	204.043	31.177.80.41
United Kingdom - Cardiff (gbcar01)	Packets lost (100%)				89.111.160.32
United States - Cheyenne (usche01)	Packets lost (100%)				89.111.160.32
United States - Charleston (uschs02)	OK	135.490	135.616	136.419	31.177.80.41
United States - Charleston (uschs01)	OK	134.688	134.875	135.435	31.177.80.41
Canada - Toronto (cator03)	Packets lost (100%)				89.111.160.32
Germany - Berlin (deber01)	Packets lost (100%)				89.111.160.32
Germany - Frankfurt (defra05)	OK	50.179	50.354	51.119	31.177.80.41
Ireland - Dublin (iedub03)	OK	58.099	58.374	60.040	31.177.80.41
Netherlands - Eemshaven (nleem01)	OK	41.182	41.345	41.895	31.177.80.41
Spain - Madrid (esmad03)	Packets lost (100%)				89.111.160.32
France - Paris (frpar04)	OK	51.812	51.866	52.019	31.177.80.41
United Kingdom - London (gblon03)	OK	50.620	50.786	51.318	31.177.80.41
United Kingdom - Edinburgh (gbedi01)	OK	52.450	52.540	52.597	31.177.80.41
Greece - Athens (grath02)	Packets lost (100%)				89.111.160.32
China - Hong Kong (hkhkg03)	OK	306.604	306.737	307.282	31.177.80.41
Finland - Hammina, Finland (fiham01)	OK	18.709	18.890	19.873	31.177.80.41
Hungary - Budapest (hubud01)	Packets lost (100%)				89.111.160.32
Italy - Milan (itmil01)	Packets lost (100%)				89.111.160.32
India - Mumbai (inbom03)	OK	385.189	385.305	385.880	31.177.80.41
Japan - Tokyo (jptok02)	OK	276.598	276.653	276.718	31.177.80.41
South Africa - Johannesburg (zajnb01)	Packets lost (100%)				89.111.160.32
Singapore - Singapore (sgsin04)	OK	328.684	328.842	329.502	31.177.80.41
Denmark - Copenhagen (dkcph02)	OK	40.717	40.763	40.860	31.177.80.41
Israel - Kiryat-Matalon (ilktm02)	Packets lost (100%)				89.111.160.32
United States - Ashburn (usabn08)	OK	124.702	124.868	125.676	31.177.80.41
United States - Los Angeles (uslax03)	OK	173.694	173.976	175.093	31.177.80.41
United States - Los Angeles (uslax04)	OK	177.766	177.921	178.479	31.177.80.41
Lithuania - Vilnius (ltvno02)	OK	27.899	27.985	28.078	31.177.80.41
Australia - Melbourne (aumel04)	Packets lost (100%)				89.111.160.32
Canada - Montreal (camtr03)	OK	125.194	125.394	126.110	31.177.80.41
Norway - Oslo (noosl03)	Packets lost (100%)				89.111.160.32
Portugal - Lisbon (ptlis03)	Packets lost (100%)				89.111.160.32
Russian Federation - Moscow (rumow02)	OK	1.328	1.414	1.508	31.177.80.41
United States - San Antonio (usstx01)	OK	167.078	167.198	167.327	31.177.80.41
United States - Seattle (ussea04)	Packets lost (100%)				89.111.160.32
United States - Santa Clara (usscz04)	Packets lost (100%)				89.111.160.32
Belgium - St. Ghislain (bestg01)	OK	45.880	46.178	47.270	31.177.80.41
Korea, Republic of - Seoul (krsel02)	Packets lost (100%)				89.111.160.32
Brazil - Sao Paulo (brsao05)	OK	251.251	251.423	252.008	31.177.80.41
Australia - Sydney (ausyd05)	OK	312.407	312.543	313.130	31.177.80.41
Turkey - Istanbul (trist03)	Packets lost (100%)				89.111.160.32
Turkey - Istanbul (trist02)	Packets lost (100%)				89.111.160.32
Ukraine - Kharkov (uahrk02)	Packets lost (100%)				89.111.160.32
United States - Ashburn (usabn09)	OK	124.670	125.010	126.152	31.177.80.41
Canada - Vancouver (cavan04)	Packets lost (100%)				89.111.160.32
Viet Nam - Ho Chi Minh City (vnsgn03)	Packets lost (100%)				89.111.160.32
South Africa - Cape Town (zacpt02)	OK	194.715	195.671	197.864	31.177.80.41
Switzerland - Zurich (chzrh02)	OK	49.484	49.574	50.155	31.177.80.41

По хост-трекеру картина аналогичная, и она также сохраняется уже несколько месяцев - http://r.h-t.co/ru/2/8bb2f460-9a64-ea11-aa75-0003ff73517a

Техподдержка R01 проблему отрицает, ссылается на то, что везде отдается новый IP-адрес 31.177.80.41 (смысл отписки - если кто-то где-то что-то закэшировал - это не их заботы).

Ok, проверяем.

Домен r01.ru делегирован с DNS-серверами:

nserver: ns4-cloud.nic.ru.

nserver: ns5.nic.ru.

nserver: ns6.nic.ru.

nserver: ns8-cloud.nic.ru.

nserver: ns9.nic.ru.

https://tcinet.ru/whois/?domain=r01.ru&action=yes&domen=ru

На всякий случай исключаем, что отдельные NS-записи для субдомена ns1, на случай, если записи подтягиваются для него с какого-то иного сервера - их нет.

Проверяем какие A-записи отдаются всеми DNS-серверами:



; <<>> DiG 9.8.7 <<>> @ns5.nic.ru ns1.r01.ru IN ANY +nostats +noquestion
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47598
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10
;; WARNING: recursion requested but not available

;; ANSWER SECTION:
ns1.r01.ru.		600	IN	A	31.177.80.41

;; AUTHORITY SECTION:
r01.ru.			600	IN	NS	ns8-cloud.nic.ru.
r01.ru.			600	IN	NS	ns9.nic.ru.
r01.ru.			600	IN	NS	ns5.nic.ru.
r01.ru.			600	IN	NS	ns4-cloud.nic.ru.
r01.ru.			600	IN	NS	ns6.nic.ru.

;; ADDITIONAL SECTION:
ns5.nic.ru.		300	IN	A	31.177.67.100
ns5.nic.ru.		300	IN	AAAA	2a02:2090:e800:9000:31:177:67:100
ns6.nic.ru.		300	IN	A	31.177.74.100
ns6.nic.ru.		300	IN	AAAA	2a02:2090:ec00:9040:31:177:74:100
ns9.nic.ru.		300	IN	A	31.177.85.186
ns9.nic.ru.		300	IN	AAAA	2a02:2090:e400:7000:31:177:85:186
ns4-cloud.nic.ru.	300	IN	A	185.119.138.10
ns4-cloud.nic.ru.	300	IN	AAAA	2a01:5b0:9::a
ns8-cloud.nic.ru.	300	IN	A	185.119.136.12
ns8-cloud.nic.ru.	300	IN	AAAA	2a01:5b0:8::c

http://whois7.ru/?s=dig&q=ns1.r01.ru&ns=ns5.nic.ru&t=ANY&nostats=1&noquestion=1

;; Truncated, retrying in TCP mode.

; <<>> DiG 9.8.7 <<>> @ns4-cloud.nic.ru ns1.r01.ru IN ANY +nostats +noquestion
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29928
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; ANSWER SECTION:
ns1.r01.ru.		600	IN	A	31.177.80.41

Все DiGи не стал сюда копипастить, может что пропустил, но навскидку, для других DNS-серверов (в т.ч. по IPv6 проверено) - аналогично, везде A-записи для ns1.r01.ru указывают на 31.177.80.41.

Почему же часть коннектов идет на 89.111.160.32? Где искать ошибку в конфигурации? Есть идеи?

На всякий случай, уточню, что старый IP-адрес 89.111.160.32 убран из A-записей много месяцев назад, поэтому вряд ли дело в TTL (или их игнорировании отдельными резольверами).

---------- Добавлено 12.03.2020 в 23:28 ----------

P.S. Видим, что мнение Yandex DNS, о том, какой IP-адрес в A-записи у ns1.r01.ru отличается от того, какой он должен быть:

ns1.r01.ru@8.8.4.4 (Default): Copy results to clipboard
ns1.r01.ru. 599 IN A 31.177.80.41
ns1.r01.ru@165.87.13.129 (AT&T (US)): Copy results to clipboard
ns1.r01.ru. 207 IN A 31.177.80.41
ns1.r01.ru@1.1.1.1 (CloudFlare): Copy results to clipboard
ns1.r01.ru. 456 IN A 31.177.80.41
ns1.r01.ru@8.26.56.26 (Comodo (US)): Copy results to clipboard
ns1.r01.ru. 573 IN A 31.177.80.41
ns1.r01.ru@8.8.8.8 (Google): Copy results to clipboard
ns1.r01.ru. 195 IN A 31.177.80.41
ns1.r01.ru@168.95.1.1 (HiNet (TW)): Copy results to clipboard
ns1.r01.ru. 600 IN A 31.177.80.41
ns1.r01.ru@208.67.222.222 (OpenDNS): Copy results to clipboard
ns1.r01.ru. 600 IN A 31.177.80.41
ns1.r01.ru@9.9.9.9 (Quad9): Copy results to clipboard
ns1.r01.ru. 573 IN A 31.177.80.41
ns1.r01.ru@144.217.51.168 (Securolytics (CA)): Copy results to clipboard
ns1.r01.ru. 456 IN A 31.177.80.41
ns1.r01.ru@195.129.12.122 (UUNET (CH)): Copy results to clipboard
ns1.R01.ru. 456 IN A 31.177.80.41
ns1.r01.ru@192.76.144.66 (UUNET (DE)): Copy results to clipboard
ns1.R01.ru. 457 IN A 31.177.80.41
ns1.r01.ru@158.43.240.3 (UUNET (UK)): Copy results to clipboard
ns1.R01.ru. 457 IN A 31.177.80.41
ns1.r01.ru@198.6.100.25 (UUNET (US)): Copy results to clipboard
ns1.r01.ru. 456 IN A 31.177.80.41
ns1.r01.ru@64.6.64.6 (Verisign (US)): Copy results to clipboard
ns1.r01.ru. 494 IN A 31.177.80.41
ns1.r01.ru@77.88.8.8 (Yandex (RU)): Copy results to clipboard
ns1.r01.ru. 86277 IN A 89.111.160.32

https://digwebinterface.com/?hostnames=ns1.r01.ru&type=A&useresolver=77.88.8.8&ns=all&nameservers=

325

suffix

12 марта 2020, 20:43

#1

==================

Query for hostname: 31.177.80.41

Name server: 8.8.8.8

Name server ip address: 8.8.8.8

Timestamp: 12.03.2020 23:42:21

==================

PTR RECORD

HOSTNAME: 31.177.80.41

IP ADDRESS: 31.177.80.41

POINTS TO: ns1.r01.ru.

TTL: 3597 (59m57s)

===============

RAW DATA: ns1.r01.ru.

===============

И

==================

Query for hostname: 89.111.160.32

Name server: 8.8.8.8

Name server ip address: 8.8.8.8

Timestamp: 12.03.2020 23:43:38

==================

PTR RECORD

HOSTNAME: 89.111.160.32

IP ADDRESS: 89.111.160.32

POINTS TO: ns1.r01.ru.

TTL: 21599 (5h59m59s)

===============

RAW DATA: ns1.r01.ru.

===============

PTR обоих IP соответствует ns1.r01.ru думаю что просто у "старого" IP забыли PTR запись поменять.

1

Клуб любителей хрюш (https://www.babai.ru)

F

21

frizze

12 марта 2020, 21:29

#2

nslookup -q=a R01.RU ns1.r01.ru

Address: 31.177.80.41

хотя

PTR

89.111.160.32

JSC "RU-CENTER" (AS5537)

ns1.r01.ru

все дело в волшебном ......

JD

471

Jet D.

12 марта 2020, 21:36

#3

suffix, PTR то ту причем? Она влиять никак не должна.

Даже не говоря о смысле и предназначении этой записи, хотя бы по логике - вот есть у вас IP-адрес, указали вы там для обратной зоны например хостнэйм какого-нибудь DNS-крупняка типа CF, и что думаете запросы для этого неймсервера вдруг к вам пойдут (и можно MITM делать)? :)

205

tmatm

13 марта 2020, 05:44

#4

Мне кажется, варианта 2:

1. TTL был установлен очень большой, и поэтому ещё не везде кэш обновился (сейчас TTL в некоторых местах показывается больше 4 дней).

2. NS для r01.ru выдают разную информацию при каждом запросе. Не так давно на сайте Ру-Центра некоторые файлы стали выдаваться не от текущей даты, а от лета 2019 года. При обновлении страницы опять от текущей. И так при каждом обновлении страницы менялись. Чинили они это наверно месяц. Может и с NS у них есть такая же проблема...

Optimizator.Ru ( https://optimizator.ru/ ) — регистрация и продление доменов в RU-CENTER и REG.RU: RU, РФ от 123 р.; MSK.RU, SPB.RU и др. 168 р. + REG.RU ( https://reg.optimizator.ru/ ). Освобождающиеся домены от 150 р. ( https://optimizator.ru/backorder/ )

M

124

Mobiaaa

13 марта 2020, 05:51

#5

tmatm, Есть ещё 3 вариант

Anycast DNS

И у них нарушалась консистентность данных

---------- Добавлено 13.03.2020 в 08:53 ----------

Jet D., Попробуйте написать кому-нибудь из хостеров hostracker

Может пойдут на встречу, тогда просите вывод dig с ключом trace

325

suffix

13 марта 2020, 08:18

#6

Mobiaaa:
тогда просите вывод dig с ключом trace

Самому же можно:

1.

dig ns1.r01.ru @77.88.8.8 A выдаёт старый IP

2.

dig ns1.r01.ru @77.88.8.8 A +trace выдаёт новый IP

N

419

netwind

13 марта 2020, 08:20

#7

Jet D.:
Но, было замечено, что часть коннектов идет все равно на 89.111.160.32.

ну так почему бы не проанализировать в логе чем эта часть отличается от остальных? Там будет как минимум IP и user agent.

Что известно об этой части клиентов?

Возможно, это парсеры и прочие боты. Только они в современном интернете игнорируют TTL в DNS. И даже они непонятно зачем это делают.

Хотя, если упомянули host-tracker, тогда скорее какая-то актуальная проблема в dns существует.

Кнопка вызова админа ()

Hetzner начал выгонять хостеров Задолбали роботы Упал доход

325

suffix

13 марта 2020, 08:50

#8

netwind:
тогда скорее какая-то актуальная проблема в dns существует.

Постом выше посмотрите:

dig ns1.r01.ru @77.88.8.8 A и dig ns1.r01.ru @77.88.8.8 A +trace разные IP отдают !

N

419

netwind

13 марта 2020, 09:50

#9

suffix:
dig ns1.r01.ru @77.88.8.8 A и dig ns1.r01.ru @77.88.8.8 A +trace разные IP отдают !

да, действительно. Яндекс странный.

Кто-то успел делегировать им домен r01.ru?

325

suffix

13 марта 2020, 10:00

#10

netwind:
да, действительно. Яндекс странный.

Да не только Яндекс - как видно из первого поста ТС - ещё часть днс-серверов старый IP видит.

Вышел новый Яндекс Браузер с YandexGPT и YandexART

Что такое Power BI и зачем это нужно бизнесу