Comments 27
Чисто из интереса, почему не отвечать как то типа 127.0.0.X ?
Блокировка к NS-ам осуществляется по IP (ответ не предполагается даже в теории). А вот про то, как отвечать конечным устройствам - это отдельная тема и требует дополнительной проработки... Спасение утопающих - дело рук самих утопающих...
как то типа 127.0.0.X
Т.е. "искомое где-то у вас на localhost, поищите получше, не спешите". С больной головы на здоровую.
Я не специалист в данной области, но для меня есть 2 большие разницы между
а)не предоставить доступ к запрошенной информации.
б)предоставить заведомо ложную информацию.
Ну я не претендую тоже, но я видел что таким образом ставят заглушки в многих случаях ну и плюс есть такое понятие как https://en.wikipedia.org/wiki/Black_hole_(networking). Тоже IP адрес, куда перенапрявляют трафик по набору правил (например при ддос) и оно тоже не соотвествут IP запрошеному в соединении.
P.S. — использовать последние года три резолв без шифрования, имхо, крайне контрпродуктивно.
Сервера НСДИ вполне себе резолвят facebook.com - это и есть одна из "таблеток"...
~ dig @195.208.4.1 facebook.com
; <<>> DiG 9.10.6 <<>> @195.208.4.1 facebook.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18998
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;facebook.com. IN A
;; ANSWER SECTION:
facebook.com. 264 IN A 157.240.205.35
;; Query time: 52 msec
;; SERVER: 195.208.4.1#53(195.208.4.1)
;; WHEN: Mon Apr 11 22:11:00 MSK 2022
;; MSG SIZE rcvd: 57
пусть на своей шкуре почувствуют последствия собственных решений
"Решений" в смысле "solutions" (т.е. программно-аппаратного комплекса, которые народ собственноручно установил и настроил) или же "decisions"? На всякий случай напомню, что обратной связи между "народом" и "тем, кто наверху" нет, так что говорить "вы сами так решили" это то же самое, что сказать "мышки, станьте ежиками. Что, не будете? Ну ладно, это ваше решение".
Каким вы себе видите рунет через год, если блокировки будут продолжаться?
провайдер МГТС
локально IP NS-серверов FB недоступен (dig +trace не может достучаться)
но провайдерский DNS (тем более Google, Yandex и прочие общедоступные) их резолвят
скорее всего проблема надуманная, у большинства провайдеров это не вызовет лишней нагрузки на сеть.
Да, все верно, проблема не у всех операторов. Формально, по правилам пропуска трафика (https://base.garant.ru/403587972/) DNS-сервера - это не абоненты и такой трафик может не проходить через ТСПУ, однако, у присоединенных операторов, у которых нет своего ТСПУ (могут использовать от вышестоящего оператора), шансов нет совсем. Это еще один повод задуматься - какого черта это было сделано...?
В нашем же случае эффект получился обратный и блокировка, по сути, вызвала DDoS-атаку на DNS-сервера (резолверы) операторов: нагрузка на них выросла минимум в 3 раза
Да с фига ли ?
Количество "дорогих" операций собственно рекурсивного резолвинга осталось плюс-минус тем же (и в абсолютных цифрах - крайне небольшим, поэтому тем, что "отвал по таймауту ожидания ответа" чуть более затратная по ресурсам операция, чем успешный резолвинг можно пренебречь).
Отдать же клиенту ответ из (негативного) кэша - операция быстрая и дешевая.
Ну и в довесок - раз уж мы говорим про операторские резолверы, то они почти наверняка сидят на нефильтрованных каналах. Цензурится интернет дальше, ближе к клиентам.
а показатель успешности резолвинга ЗНАЧИТЕЛЬНО упал.
Кого он волнует-то ? Или у админов резолверов к показателю успешности резолвинга KPI привязан ?
Ответ SERFAIL - дешевая операция, но если таких запросов увеличилось на СОТНИ тысяч в секунду - это не уже не очень смешно. Нечто подобное уже было из-за аварии на cloudflare (https://habr.com/ru/news/t/511506/), но тогда отделались легким испугом (авария была устранена относительно быстро). Нагрузкой на резолверы не плохо так накрыло.
А на KPI не плохо бы смотреть, как минимум для понимания что происходит
Сейчас еще и фишеры прочухаются и станет совсем весело.
Что-то мне подсказывает, что на NS-ах региональных провайдеров немало уязвимостей типа отравления кэша.
Что я делаю не так?
у меня, кстати, где-то с десятых чисел марта на мобильном интернете (с резолверами провайдера) с небольшим шансом стали появляться ошибки днс (NX_DOMAIN, как они называются в Хромиуме), причём со второго раза, при попытке обновить страницу, всё загружалось нормально.
совпадение?
Блокировка NS-серверов facebook.com и instagram.com, или DDoS-атака на резолверы операторов