问 ：关于 retry 和 timeout 的问题

ailms

前几天在精华区看到“反向解析域是怎么授权的”一文，里面 netman 大虾提到了 retry 和 timeout 的算法，但我在 Redhat 9 + BIND 9 下用 ethereal 抓取数据包，发现跟 netman 大虾和书上讲的都有出入 。下面是为这次测试而设的 /etc/resolv.conf 的内容 ：

1. 
   
2. search bob.com
   
3. nameserver  202.106.120.1 // 因关闭了路由器而不可达
   
4. nameserver 211.95.193.97 // 因关闭了路由器而不可达
   
5. nameserver 127.0.0.1 // 停止了 named 进程
   

复制代码

在本地 DNS 服务器（也就是第三台）上执行 ：

1. 
   
2. nslookup dns
   

复制代码

结果如图1。图2是我自己对 retry 流程的理解。

问题1 ：图-2种两个 Resolver 之间的蓝色箭头的时间是多少？如果按书上的算法，应该是一个完整的5秒，这样才能得出 3*5 + (2*5/3)*3 =24 秒。但从图-1来看，在收到上一个查询返回的 ICMP 错误消息后就立即开始查询下一个 Nameserver，而不用等到5秒结束再查询下一个 Nameserver。如此算来，就不需要 24 秒那么多了，如果 ICMP 错误消息很快返回，整个过程估计在 10-13 秒左右。不知我的理解对不对？

问题2 ：图-1种从发出第一个 A query （4# packet）到 第二次发出 A query（retry ，16# packet）之间相隔将近 7 秒，而不是 timeout的5秒。

[ 本帖最后由 ailms 于 2006-1-21 12:28 编辑 ]

ailms

自己顶一下

ailms

没人理,再顶.

網中人

這個我沒有實際去追蹤過呢.
不過, 理論很多時候跟實作是有所出入的. 畢竟都是"人"寫的.
假設都按標準來寫, 那也要看上層 program 如何處理 resolver 返回的結果.
這個我暫時沒去深究了, 有勞 ailms 兄繼續追蹤. 謝謝!

對了, 若用 firewall 將 ICMP DROP 掉, 也就是不要讓 resolver 知道結果, 那時的 timeout 又如何呢??

abel

原帖由 網中人 于 2006-1-24 23:59 发表
這個我沒有實際去追蹤過呢.
不過, 理論很多時候跟實作是有所出入的. 畢竟都是"人"寫的.
假設都按標準來寫, 那也要看上層 program 如何處理 resolver 返回的結果.
這個我暫時沒去深究了, 有勞 ailms  ...

我也是這麼認為,
因為 udp 協定特性,所以 DNS Server (至少 ISC BIND) 常常會做 ICMP 動作,
來確認目的主機的狀態,而一般 Reslover 也是跟著 bind 的,所以這樣的行為
常會有影響, 我記得 Root Server (. or cn/tw/com ...) 的運作要求中就有一項要求是
ICMP 要開 ,  所以 DNS 的運作和 ICMP 還是有一定關連的

ailms

谢谢 netman 和 abel 两位大虾的回复，又学到东西了。^_^

至于 netman 大哥提到的屏蔽 ICMP 消息，我先用 blackhole 作了一下，效果跟用 firewall 屏蔽 ICMP 消息一样（个人认为而已）。图如下 ：

[ 本帖最后由 ailms 于 2006-1-25 09:59 编辑 ]