Как работает системный DNS-резолвер в linux?

Так ты не юзаешь systemd-resolve? Там можно включить кэш. Но без разницы, то что у тебя сейчас слушает на 53 порту наверняка имеет опции кэширования

Надо обязательно поменять днс провайдера на нечто более пригодное типа 1.1.1.1

В /etc/resolv.conf прописан DNS-сервер (локальный pdns_recursor)

Только это не «системный резолвер» а дополнительная прога. Системный резолвер как раз резолвит напрямую из того процесса, которому это нужно, и ничего не кеширует.

pdns_recursor

Смотрел его конфиг?

Но подозреваю что дело не в кешировании, поскольку ты же сам показал что dig всё успешно получает.

более пригодное типа 1.1.1.1

Вредные советы. Жду недождусь когда всю эту чушь либо заблокируют, либо прозрачно завернут на провайдерский днс.

Анус себе заблокируй, либо прозрачно заверни.

Клоун)) лучше этого совета не было и нет.

По умолчанию в дебиане нет резолвера, и каждый раз когда нужно преобразовать имя в адрес, любой софт стучится напрямую на DNS сервер. Если у тебя прописано 127.0.0.1, это уже не по умолчанию. Что именно там у тебя установлено не ясно, это может быть systemd-resloved, nscd, dnsmasq и прочие.

порядок системных dns резолверов (в каком порядке они опрашиваются, и что будет если какой-то из них вернет, или не вернет ответ) определяет строчка hosts из

/etc/nsswitch.conf

man nsswitch.conf

Это не так. По умолчанию (если никакие локальные резолверы не инсталированы) софт сперва «стучится» в /etc/hosts, и уже потом на aдрес внешнего резолвера из /etc/resolv.conf

cat /etc/nsswitch.conf | grep hosts

hosts: files dns

вопрос к ляликсоидам заминусовавших совет со сменой днс провайдера на корневой: куда же обращается провайдерский днс сервер? Какой сюрприз как раз к корневому днс серверу! Но можно и своему прову сливать раз такие буратины )

pdns_recursor

Смотрел его конфиг?

Его конфиг я специально исправил (уменьшил время кеширования негативных ответов до секунды). И как видно, он нормально работает.

1.1.1.1 - это не корневой днс, если ты не знал.

И на корневые тоже менять не надо, они не для конечных клиентов а для провайдерских днсов с кешами - чтобы меньше была нагрузка.

Тогда сделай tcpdump -i lo -n udp and port 53 и посмотри что пингу присылается.

Ну и есть вероятность что это в вышеупомянутом nsswitch.conf проблема.

пусть 1.1.1.1 не корневой, зато самый быстрый резолвер. Я и с моим провайдером, и с телекомом всегда имел тормознее резолв чем с рекомендуемыми. Твой провадер скорее всего их и использует

йоба, столько говна налили, а всего-лишь браузеры болт клали на resolv.conf

2тс у тебя все норм, просто выруби dot/doh в браузере.

Нормальные провайдеры имеют рекурсивные резолверы через корневые днсы. А насчёт «провайдер использует 1.1.1.1/8.8.8.8/ещё какую чушь» - да, бывает, и как я уже писал - жду когда такое законодательно запретят.

Какая связь между настройками браузера и тем, что команда ping не может найти домен?

А, ну не читал, тогда да, лейте.

провайдерские днс всегда медленнее в резолве чем публичные. С твоими запросами он может делать все что угодно. Я еще ни разу не видел днс сервер провайдера быстрее чем рекомендуемые публичные, всегда тормознее. Хоть они и впаривают про кэширование и прочую ерунду. Если бы так было сейчас мой провайдер который у меня под носом должнет был бы давать ответ за пару мсек максимум. Почему так не происходит? Вот именно

ну так ркн же, вариантов нет.

не я имею ввиду моих провайдеров с которыми я имел дело - telekom и telecolumbus(который поменял себя на смешное имя PŸUR)

йоба, столько говна налили, а всего-лишь браузеры болт клали на resolv.conf

2тс у тебя все норм, просто выруби dot/doh в браузере.

Нет, это не doh. Там даже с /usr/bin/ping проблемы.

Ну и есть вероятность что это в вышеупомянутом nsswitch.conf проблема.

Так точно! Вот что оказалось:

% fgrep hosts /etc/nsswitch.conf
hosts:          files mdns4_minimal [NOTFOUND=return] dns myhostname

Поменял на

hosts:          files dns myhostname

Проблема устранена, всем спасибо!

Недавно я узнал, что при установке systemd-resolved в некоторых дистрах ставится ещё один пакет, который помогает резолвить имена несколько неявно :)

провайдерские днс всегда медленнее в резолве чем публичные.

Не всегда, особенно у крупных провайдеров с миллионами клиентов.

#   Name                 Address              State   Ord         Wt    Queries   Drops Drate   Lat

3   rr0.sib.mts.ru       213.87.210.20:53        up     1          1      16593      85   0.0  52.3
4   rr1.sib.mts.ru       213.87.211.20:53        up     1          1      17698      56   0.0  46.4
5   ns32.myttk.ru        81.1.192.20:53          up     1          1      73576     763   0.0  26.9
6   one.one.one.one      1.1.1.1:53              up     1          1       2585      10   0.0  96.0
7   dns.google           8.8.8.8:53              up     1          1      51807      24   0.0  57.9
8   dns.yandex.ru        77.88.8.8:1253          up     1          1       7928      36   0.0  77.9

А, вроде это запись от пакета со словом avahi в названии. Я эту муть давно у себя снёс - совершенно непонятное предназначение (походу автоузнавание имён других хостов в локалке, зачем?), лезет в системные конфиги и висит ненужным демоном. К сожалению только несколько пакетов с названиями libavahi-* снести не получается т.к. они зависимости у чего-то нужного.

вопрос к ляликсоидам заминусовавших совет со сменой днс провайдера на корневой

Не увидел тут упоминаний про корневые.

И на корневые тоже менять не надо, они не для конечных клиентов а для провайдерских днсов с кешами - чтобы меньше была нагрузка.

Нет. Корневые для того что бы рассказать у кого спрашивать.

Рассказать провайдерским, которые спросят всех по цепочке и закешируют ответ по TTL для всех своих клиентов. А не так, что каждый из условно миллиона клиентов сам будет делать то же самое и грузить глобальную систему днсов.

Че там грузить?
1. Спросили хто отвечает за aaaa.ru
2. Получили ответ, пошли спрашивать
Другой вопрос, что миллиону мух клиентов не в юх не вбилось поднимать у себя какой-нидь кэширующий бинд.

Есть разница, будет ли это один запрос от провайдерского днс, или миллион одинаковых запросов от всех его клиентов.

Есть разница, будет ли это один запрос от провайдерского днс, или миллион одинаковых запросов от всех его клиентов.

Если запрашивают то скорее всего не просто так, а ради какого-то сервиса, который будет «чуток» «больше» создавать нагрузку.

Конечно запрашивают не просто так, но когда запрашивают миллион раз там где можно один - это однозначно плохо.

но когда запрашивают миллион раз там где можно один - это однозначно плохо.

Чем плохо?

Короче, я вам все придумал. Чем юзать дидовский негодный dns с наслоениями говн, надо переписать rfc на блокчейн. Размазать его по публичным серверам и забыть всю это дрисню, попутно поводив по губам всяким регистраторам и ркнам. Даешь смузи во благо человечества!

Лучше 100 раз спрашивать у человека «ты жив?», чем «по косвенным признакам» «спрашивать у знакомых, знакомых: а он жив?»
Извините. :(

Я эту муть давно у себя снёс - совершенно непонятное предназначение (походу автоузнавание имён других хостов в локалке, зачем?),

Анонсирование хостов в сети, замена Netbios, только гораздо быстрее. CUPS, например, через неё находит сетевые принтеры, а pipwire или Kodi — сетевые телевизоры и колонки. Если тебе всё это не нужно — сноси, конечно.

Правильно, позорься до конца!

Если тебе всё это не нужно — сноси, конечно.

Именно так. Аналогия с таким же ненужным нетбиосом и правда напрашивалась. Впрочем, из этого списка сетевые принтеры в каком-нить не сильно организованном офисе, наверно, и правда полезная вещь.

Нормальные провайдеры имеют рекурсивные резолверы через корневые днсы. А насчёт «провайдер использует 1.1.1.1/8.8.8.8/ещё какую чушь» - да, бывает, и как я уже писал - жду когда такое законодательно запретят.

У меня named вообще работает с 1.1.1.1, 8.8.4.4 через stunnel на 853-ем порту.
Если посмотреть со стороны провайдера то я dns вообще почти не использую. ;)
Только ответы запросы-ответы моего домена.

И зачем?

И зачем?

Хотелось потестить. Потестил. Так оставил.
Работает конечно же немного медленней чем по udp.
Зато с шифрованием. :)

Крупные сервисы имеют распределенные по геолокации системы. Обращаясь к «далекому» ДНСу, получишь «далекие» сервисы

Пример:

$ host -t a ibm.com
ibm.com has address 23.53.48.72

$ host -t a ibm.com 1.1.1.1
ibm.com has address 104.81.232.193

Ping на 104.81.232.193 больше чем на 23.53.48.72