<br><br><div class="gmail_quote">On Sat, Jul 16, 2011 at 10:35 PM, Dave Hart <span dir="ltr"><<a href="mailto:davehart_gmail_exchange_tee@davehart.net">davehart_gmail_exchange_tee@davehart.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On Sun, Jul 17, 2011 at 00:02 UTC, Rick Jones <<a href="mailto:rick.jones2@hp.com">rick.jones2@hp.com</a>> wrote:<br>
> If you configure ntpd with bare IP addresses rather than names, will the<br>
> getaddrinfo() return without attempting any DNS in the first place?<br>
<br>
</div>Yes, basically.  ntpd might not even call getaddrinfo() in that case<br>
(it may use inet_pton() or similar to convert the IP address to binary<br>
representation).  At any rate, using only numeric IPv4 or IPv6<br>
addresses will avoid any DNS lookups.<br></blockquote><div><br>While there is one group that is finally providing ntp time via anycast - which is a good solution to a large extent! - there is only the one (small) group doing so, rather than the needed '3'.<br>
<br><a href="http://news.ntppool.org/2011/03/expanding-the-anycast-dns-serv.html">http://news.ntppool.org/2011/03/expanding-the-anycast-dns-serv.html</a><br><br>And I'm reluctant, given the sordid history of hard coding ntp IP addresses, <br>
<br><a href="http://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse">http://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse</a><br><br>to hard code *any* until far more anycast servers are online.<br><br>To take a step backwards on this, there are extensive notes on the circular dependencies between time and dnssec logged here.<br>
<br><a href="http://www.bufferbloat.net/issues/205">http://www.bufferbloat.net/issues/205</a><br><br>I'd implemented a hack to try to address these circular depenencies last week in the named-latest package repo, while also coping with<br>
<br><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2464">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2464</a><br><br>I think I addressed the latter issue, but *good*. :) The 'fix' for the ntp/dnssec/bind/network dependencies seems to have some problems, however, notably really slow startup in general.<br>
<br><br>To step further back on this:<br><br>I had implemented ntp (with 7 contacted servers in the conf file!) in the first place due to the "cosmic background bufferbloat detector" idea extensively discussed on the comp.protocols.ntp newsgroup, and because I wanted to be able to compare large sample data sets against known-to-be accurate time, with a large deployment of client routers that had a configuration I could trust to be accurate, talking to a yet-to-be-deployed string of ntp servers (via hopefully a helpful operator) that could work on this with us. <br>
<br><br>We had implemented dnssec in the first place because we wanted more people to be using it, and ironing out problems (among other things, I planned to use it to ensure valid updates to the routers), and because of nonsense about DNS censorship happing all over the world, such as the recent shenanagans in Australia.<br>
<br>once all these circular dependencies are resolved on boot, which doesn't always happen and seems to take minutes, regardless, dnssec works pretty darn good. Seeing it actually work at all after a decade of discussion makes me really, really happy, but making it work *well*, somehow, would be best.<br>
<br>It's also my hope to implement this fix to bind, in the next rc release of cerowrt.<br><br><a href="http://www.isc.org/community/blog/201107/major-improvement-bind-9-startup-performance">http://www.isc.org/community/blog/201107/major-improvement-bind-9-startup-performance</a><br>
<br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
Cheers,<br>
<font color="#888888">Dave Hart<br>
</font></blockquote></div><br><br clear="all"><br>-- <br>Dave Täht<br>SKYPE: davetaht<br>US Tel: 1-239-829-5608<br><a href="http://the-edge.blogspot.com" target="_blank">http://the-edge.blogspot.com</a> <br>