Wie man Java Ehre der DNS-Caching Timeout?

Verwenden wir GSLB für die geo-distribution und load-balancing. Jeden Dienst zugeordnet ist, einen festen domain-Namen. Durch einige DNS-Magie, der domain-name aufgelöst in eine IP, die am nächsten an den server mit der geringsten Last. Für das load-balancing zu arbeiten, muss der Anwendungsserver zu Ehren der TTL vom DNS-Antwort und zum auflösen der domain-name wieder, wenn die cache-Zeiten aus. Allerdings konnte ich nicht herausfinden, ein Weg, dies zu tun in Java.

Die Anwendung wird in Java 5, läuft auf Linux (Centos 5).

InformationsquelleAutor ZZ Coder | 2009-08-10

64

Java hat einige sehr seltsame dns-caching-Verhalten. Ihre beste Wette ist zu deaktivieren, dns-caching oder legen Sie es auf einen niedrigen Wert wie 5 Sekunden.

Netzwerkadresse.cache.ttl (default: -1)

Gibt die caching-Richtlinie für eine erfolgreiche lookups von Namen aus dem name-service. Der Wert ist angegeben als ganze Zahl zur Angabe der Anzahl der Sekunden, um die cache-die erfolgreiche Suche. Ein Wert von "-1" bedeutet "cache für immer".

Netzwerkadresse.cache.negativ.ttl (default: 10)

Gibt die caching-Richtlinie für un-erfolgreicher lookups von Namen aus dem name-service. Der Wert ist angegeben als ganze Zahl zur Angabe der Anzahl der Sekunden, um die cache-das Versagen der un-erfolgreicher lookups. Ein Wert von 0 gibt an, "nie-cache". Ein Wert von "-1" bedeutet "cache für immer".
- http://java.sun.com/j2se/1.4.2/docs/api/java/net/InetAddress.html
- Hinweis: dies nicht, deaktivieren Sie alle DNS-caching in deinem OS. Gerade deaktiviert die Java-eigene defekte in-memory-caching in der Bibliothek. Sie können einfach setzen Sie diese Eigenschaften auf der Kommandozeile beim aufrufen der JVM.
- Ich weiß nicht, dass "broken" ist gültig. Java (aus Sicherheitsgründen) caches von DNS-Einträgen für immer, oder bis die JVM neu gestartet wird, je nachdem, was zuerst kommt. Diese (von was ich sagen kann) war der Entwurf. Die Einstellungen werden in der java.security-policy-Datei, oder auf der Kommandozeile. Die Einstellungen sind bei jedem anders. Verweis: rgagnon.com/javadetails/java-0445.html
- Beachten Sie, dass Sie nicht festlegen können, diese als System-Eigenschaften (ich.e mit der-D-flags oder System.setProperty), weil Sie keine system-Eigenschaften - Sie sind die Sicherheits-Eigenschaften.
- Diese Dokumentation ist etwas anders in 1.7. Insbesondere ist der cache für immer jetzt geschieht nur, wenn ein security manager vorhanden ist: "Das Standardverhalten ist, um den cache immer, wenn ein security-manager installiert ist, und cache für eine Umsetzung bestimmten Zeitraum, wenn ein security-manager ist nicht installiert." docs.oracle.com/javase/7/docs/technotes/guides/net/...
- Wie kann man wissen, ob ein security manager installiert ist?
- sehen System.getSecurityManager(). In der Dokumentation zur Java-8: docs.oracle.com/javase/8/docs/api/java/lang/...
- Wenn Sie nicht wissen, ist es wahrscheinlich nicht :-). Mit standard-Konfigurationen, nur Java-applets, ein Sicherheits-manager, apps laufen über die java Befehl nicht bekommen, ein. Sie können eine, jedoch.
- Auf Android, können Sie auch davon ausgehen, dass es kein SecurityManager (Quelle: developer.android.com/reference/java/lang/SecurityManager.html )
InformationsquelleAutor Byron Whitlock
62

Pro Byrons Antwort, Sie können nicht networkaddress.cache.ttl oder networkaddress.cache.negative.ttl als System-Eigenschaften, indem Sie die -D Flagge oder der Aufruf System.setProperty denn diese sind nicht-System-Eigenschaften - Sie sind Sicherheit Eigenschaften.

Wenn Sie möchten, verwenden Sie eine System-Eigenschaft auslösen dieses Verhalten (so können Sie die -D flag oder call System.setProperty), werden Sie wollen, um die folgenden System Eigenschaft:
```
-Dsun.net.inetaddr.ttl=0
```
Diese Systemeigenschaft ermöglicht den gewünschten Effekt.

Aber bewusst sein: wenn Sie nicht die -D flag beim starten der JVM-Prozess und wählt diesen Aufruf aus code statt:
```
java.security.Security.setProperty("networkaddress.cache.ttl" , "0")
```
Dieser code muss führen vor jedem anderen code in der JVM auszuführen versucht-networking-Operationen.

Dies ist wichtig, weil, zum Beispiel, wenn Sie aufgerufen Security.setProperty in einem .die war-Datei und Einsatz .Krieg Tomcat, würde dies nicht funktionieren: Tomcat verwendet das Java-Netzwerk-stack zu initialisieren sich viel früher als Ihr .Krieg der code ausgeführt wird. Weil dieses 'race-condition', normalerweise ist es bequemer zu verwenden, die -D flag beim starten der JVM-Prozess.

Wenn Sie nicht -Dsun.net.inetaddr.ttl=0 oder rufen Sie Security.setProperty Sie Bearbeiten müssen $JRE_HOME/lib/security/java.security und legen Sie die Sicherheits-Eigenschaften, die in dieser Datei, z.B.
```
networkaddress.cache.ttl = 0
networkaddress.cache.negative.ttl = 0
```
Aber achten Sie auf die Sicherheits-Warnungen in den Kommentaren rund um diese Eigenschaften. Tun Sie dies nur, wenn Sie einigermaßen zuversichtlich, dass Sie sind nicht anfällig für DNS-spoofing-Angriffe.
- Die FQN ist java.security.Security (zumindest in jdk7)
- Nur eine Bemerkung, die Sicherheits-Warnungen sind meist in Bezug auf Sicherheits-Manager und remote-laden. Für jeden normalen server-Anwendung, die vertraut, die DNS, um einige zu verlängern Reduzierung der TTL ist in Ordnung. (Allerdings denke ich nicht 0 ist eine gute minimale und der Standardwert 30s für nicht-security-Manager ist nur in Ordnung, in den meisten Fällen).
- Hat das System die Eigenschaft der Arbeit mit dem OpenJDK so gut oder ist es Oracle-spezifischen?
InformationsquelleAutor Les Hazlewood

Dieser hat offensichtlich bereits in neueren Versionen behoben (SE 6 und 7). Ich erlebe eine 30-Sekunden-caching-Dauer max beim ausführen des folgenden code-snippet ein, während Sie port 53 Aktivitäten mit Hilfe von tcpdump.

/**
 * http://stackoverflow.com/questions/1256556/any-way-to-make-java-honor-the-dns-caching-timeout-ttl
 *
 * Result: Java 6 distributed with Ubuntu 12.04 and Java 7 u15 downloaded from Oracle have
 * an expiry time for dns lookups of approx. 30 seconds.
 */

import java.util.*;
import java.text.*;
import java.security.*;

import java.net.InetAddress;
import java.net.UnknownHostException;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.io.InputStream;
import java.net.URL;
import java.net.URLConnection;

public class Test {
    final static String hostname = "www.google.com";
    public static void main(String[] args) {
        //only required for Java SE 5 and lower:
        //Security.setProperty("networkaddress.cache.ttl", "30");

        System.out.println(Security.getProperty("networkaddress.cache.ttl"));
        System.out.println(System.getProperty("networkaddress.cache.ttl"));
        System.out.println(Security.getProperty("networkaddress.cache.negative.ttl"));
        System.out.println(System.getProperty("networkaddress.cache.negative.ttl"));

        while(true) {
            int i = 0;
            try {
                makeRequest();
                InetAddress inetAddress = InetAddress.getLocalHost();
                System.out.println(new Date());
                inetAddress = InetAddress.getByName(hostname);
                displayStuff(hostname, inetAddress);
            } catch (UnknownHostException e) {
                e.printStackTrace();
            }
            try {
                Thread.sleep(5L*1000L);
            } catch(Exception ex) {}
            i++;
        }
    }

    public static void displayStuff(String whichHost, InetAddress inetAddress) {
        System.out.println("Which Host:" + whichHost);
        System.out.println("Canonical Host Name:" + inetAddress.getCanonicalHostName());
        System.out.println("Host Name:" + inetAddress.getHostName());
        System.out.println("Host Address:" + inetAddress.getHostAddress());
    }

    public static void makeRequest() {
        try {
            URL url = new URL("http://"+hostname+"/");
            URLConnection conn = url.openConnection();
            conn.connect();
            InputStream is = conn.getInputStream();
            InputStreamReader ird = new InputStreamReader(is);
            BufferedReader rd = new BufferedReader(ird);
            String res;
            while((res = rd.readLine()) != null) {
                System.out.println(res);
                break;
            }
            rd.close();
        } catch(Exception ex) {
            ex.printStackTrace();
        }
    }
}

Ja, Java 1.5 hatte einen Wert von unendlich Zwischenspeichern. Java 1.6 und 1.7 haben einen 30-Sekunden-Standard.
Die Dokumentation für 1.7 zeigt an, das kann nur wahr sein in dem Fall, wo ein security-manager ist nicht vorhanden: "Das Standardverhalten ist, um den cache immer, wenn ein security-manager installiert ist, und cache für eine Umsetzung bestimmten Zeitraum, wenn ein security-manager ist nicht installiert." docs.oracle.com/javase/7/docs/technotes/guides/net/...
Pflege zu teilen, die Quelle für diese information?
siehe Netzwerkadresse.cache.ttl - docs.oracle.com/javase/1.5.0/docs/api/java/net/InetAddress.html docs.oracle.com/javase/6/docs/api/java/net/InetAddress.html docs.oracle.com/javase/7/docs/api/java/net/InetAddress.html Java 1.5 nicht standardmäßig auf unendlich. JavaDoc für 6 und 7 sagt, dass die Umsetzung-spezifisch. Ich lese 30 Sekunden irgendwo, die Jagd, nach unten.
Oracle 1.6 und 1.7 JDK hat dies in jre/lib/security/java.Sicherheit für die Netzwerkadresse.cache.ttl: "# default-Wert ist für immer (für IMMER). Aus Gründen der Sicherheit, die dieses # caching ist aus, für immer, wenn ein security-manager festgelegt ist. Wenn eine Sicherheits - # manager ist nicht festgelegt, wird der standardmäßige Verhalten ist in den cache für 30 Sekunden." Also applets und Anwendungen bereitgestellt, die über Java Web Start cache noch immer anders, es ist 30 Sekunden.
Dies ist, da Sie nicht über eine Sicherheits-manager an Ort und Stelle. Einige application Server (im abgesicherten Modus), tun.
Hier ist ein code Zeiger auf OpenJDK 8 java.Sicherheit, das besagt, dass ohne ein security-manager die TTL-30s: hg.openjdk.java.net/jdk8u/jdk8u/jdk/file/f940e7a48b72/src/share/... . Getestet habe ich diese auf Mac OS X und Ubuntu 14.04.
ist das nicht der security manager standardmäßig aktiviert?
nur für WebStart-Anwendungen — auch in den meisten Anwendungsserver verwenden, ist es normalerweise nicht standardmäßig aktiviert (und Oracle war auch das denken, laut über ihn zu entfernen, wie es nur selten verwendet —und das ist IMHO sehr schade). Das unlimited caching ist eine Funktion, die macht meistens Sinn für webstart und applets da eh origin policy.
Ich war der Annahme, dass ein minimalistischer Standard-Sicherheits-Richtlinie ist in Kraft. Danke für die info!

InformationsquelleAutor

Erweitern Byrons Antwort, ich glaube, Sie brauchen, um die Datei zu Bearbeiten java.security im %JRE_HOME%\lib\security - Verzeichnis, um die Wirkung dieser Veränderung.

Hier ist der entsprechende Abschnitt:

#
# The Java-level namelookup cache policy for successful lookups:
#
# any negative value: caching forever
# any positive value: the number of seconds to cache an address for
# zero: do not cache
#
# default value is forever (FOREVER). For security reasons, this
# caching is made forever when a security manager is set. When a security
# manager is not set, the default behavior is to cache for 30 seconds.
#
# NOTE: setting this to anything other than the default value can have
#       serious security implications. Do not set it unless 
#       you are sure you are not exposed to DNS spoofing attack.
#
#networkaddress.cache.ttl=-1

Dokumentation auf der java.security Datei hier.

Um diese Erweiterung, wenn mit tomcat6 musste ich ändern, meine lib/security Datei, wie Einstellung der Netzwerkadresse.cache.ttl oder Sonne.net.inetaddr.ttl-entweder programmgesteuert oder über die JAVA_OPTS-variable nicht funktioniert.
Dank bro, ich bin auch vor dem gleichen problem und gelöst mit Ihrem Kommentar und Antworten +1 Kommentar und Antwort.

InformationsquelleAutor matt b

6

Zusammenzufassen, die die anderen Antworten in <jre-path>/lib/security/java.security Sie können den Wert der Eigenschaft networkaddress.cache.ttl anpassen, wie DNS-Abfragen zwischengespeichert werden. Beachten Sie, dass dies nicht ein-system-Eigenschaft, sondern eine Sicherheits-Eigenschaft. Ich war in der Lage, diese mithilfe:
```
java.security.Security.setProperty("networkaddress.cache.ttl", "<value>");
```
Diese kann auch eingestellt werden, indem die Eigenschaft system -Dsun.net.inetaddr.ttl wenn diese nicht zum überschreiben einer security-Eigenschaft, wenn es gesetzt ist anderswo.

Ich würde auch gerne hinzufügen, dass, wenn Sie sehen, dieses Problem mit web services in WebSphere, wie ich war, die Einstellung networkaddress.cache.ttl wird nicht genug sein. Sie müssen die system-Eigenschaft disableWSAddressCaching zu true. Im Gegensatz zu den time-to-live-Eigenschaft, dies kann als ein JVM-argument oder über System.setProperty).

IBM hat einen ziemlich ausführlichen Beitrag auf, wie WebSphere Griffe DNS-caching -hier. Das entsprechende Stück zu den oben genannten ist:

Deaktivieren-Adresse caching für Web-services, die Sie brauchen, um eine weitere JVM-benutzerdefinierte Eigenschaft disableWSAddressCaching zu wahren. Verwenden Sie diese Eigenschaft deaktivieren, Adresse caching für Web-services. Wenn Ihr system läuft typischerweise mit vielen client-threads, und man begegnet lock-Konflikte auf wsAddrCache-cache, können Sie diese benutzerdefinierte Eigenschaft auf true, um zu verhindern, dass die Zwischenspeicherung des Web-services-Daten.

InformationsquelleAutor thesquaregroot
1

Entsprechend der offizielle oracle java-Eigenschaften, sun.net.inetaddr.ttl Sun-Implementierung-spezifische Eigenschaft, die "nicht unterstützt, in künftigen Versionen". "die bevorzugte Methode ist die Verwendung der security-Eigenschaft" networkaddress.cache.ttl.

InformationsquelleAutor CloudStax

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.