• Встречаем сервис от Cloudflare на адресах 1.1.1.1 и 1.0.0.1, или «полку публичных DNS прибыло!»

      1.1.1.1


      Компания Cloudflare представила публичные ДНС на адресах:


      • 1.1.1.1
      • 1.0.0.1
      • 2606:4700:4700::1111
      • 2606:4700:4700::1001

      Утверждается, что используется политика "Privacy first", так что пользователи могут быть спокойны за содержание своих запросов.


      Сервис интересен тем, что кроме обычного DNS предоставляет возможность использовать технологий DNS-over-TLS и DNS-over-HTTPS, что здорово помешает провайдерам по пути запросов подслушивать ваши запросы — и собирать статистику, следить, управлять рекламой. Cloudflare утверждает, что дата анонса (1 апреля 2018, или 04/01 в американской нотации) была выбрана не случайно: в какой еще день года представить "четыре единицы"?

      подробнее
    • DNSCrypt 2.0 и блокировка рекламы

        В этой статье хотелось бы рассмотреть нововведения Dnscrypt, на конкретном примере, который наверняка окажется для кого-то полезным.

        Для тех, кто не знает, Dnscrypt — это уникальный протокол шифрования DNS-трафика. Он даёт возможность защитить DNS-коммуникации от перехватов и подмены, и к примеру, обойти блокировки реализуемые на уровне DNS-запросов.

        Из основных возможностей новой версии, прежде всего, хочется отметить возможность коммуникации с сервером по протоколу TCP, что делает такой канал более стабильным и менее заметным.

        В этой статье, воспользуемся этим преимуществом и для разнообразия/пользы ограничим доступ к рекламным доменам.

        Dnscrypt-proxy


        В новой версии, переписанной автором на языке Go, настройки Dnscrypt-proxy хранятся в конфигурационном файле «dnscrypt-proxy.toml». Рассмотрим только интересующие параметры:

        # Значение true включит проверку DNSSEC
        require_dnssec = false
        # Значение true позволит прокси серверу выполнять DNS-запросы по TCP.
        force_tcp = false
        # Здесь можно указать незашифрованный DNS-сервер, который будет использоваться в случае недоступности сервера DNSCrypt.
        fallback_resolver = '9.9.9.9:53'
        

        К слову, теперь DNSCrypt кэширует запросы и обновляет список серверов без необходимости какой-либо дополнительной настройки.
        Читать дальше →
      • Пряморукий DNS: делаем правильно

          Представляем вашему вниманию очень эмоциональный рассказ Льва Николаева (@maniaque) о том, как надо настраивать DNS и особенно, как делать не надо. Вот прямо после каждого пункта можете мысленно добавлять: «Пожалуйста, не делайте этого!» В своем докладе Лев так и говорит.

          Статья будет состоять из трех частей:

          1. Как сделать резольвер (unbound, bind)

          Резольвер — это та штука, которую вы прописываете в настройках своей операционной системы, чтобы можно было превращать понятные человеку адреса типа ya.ru в непонятное 87.250.250.242.

          2. Как держать зоны (PowerDNS)

          Если вы уже доросли до этого, расскажем, как держать зону самостоятельно, как это делать хорошо и отказоустойчиво, и как это делать, если у вас несколько сотен доменов.

          3. Как взболтать, но не смешивать (PowerDNS + unbound)


          Читать дальше →
        • Пишем плагин к Microsoft DNS server для защиты от IDN spoofing

          IDN spoofing — это генерация доменных имён «похожих» на выбранное, обычно применяемая с целью заставить пользователя перейти по ссылке на ресурс злоумышленника. Далее рассмотрим более конкретный вариант атаки.

          Представим, что атакуемая компания владеет доменом organization.org, и внутри этой компании используется внутренний ресурс portal.organization.org. Цель злоумышленника -получить учётные данные пользователя, и для этого он присылает ссылку через e-mail или используемый в компании мессенджер.

          image

          Получив подобное сообщение с большой вероятностью можно не заметить, что ссылка ведёт куда-то не туда. После перехода по ссылке будет запрошен логин\пароль, и жертва, думая, что находится на внутреннем ресурсе, введёт данные своей учётной записи. Шансы злоумышленника особенно высоки, если он уже проник за периметр, скомпрометировав систему любого сотрудника, и теперь борется за привилегии системного администратора.

          Абсолютной «защиты от дурака» тут придумать не получится, но можно пробовать перехватить эту атаку на этапе разрешения имени через dns-запрос.
          Читать дальше →
          • +21
          • 2,3k
          • 4
        • Пишем DNS proxy на Go


            Давно хотел решить проблему с рекламой. Наиболее простым способом сделать это на всех устройствах оказалось поднятие своего DNS сервера с блокированием запросов на получений IP адресов рекламных доменов.
            Читать дальше →
          • Правовые аспекты доменного пространства

              image

              Домен, как объект права, отсутствует в Гражданском кодексе РФ, он не является результатом интеллектуальной деятельности (объектом исключительных прав), не является вещью или иным имуществом, законодатель не установил ни специальных правовых норм об условиях и субъектах “доменных” правоотношений, ни специальных процедур разрешения споров, связанных с доменами. Юристы часто отождествляют доменные имена с товарными знаками. Все же, доменные имена имеют иную правовую природу, ведь они не индивидуализируют ни продукцию, ни услуги. Домен несет в себе маркетинговую ценность для его обладателя и является его нематериальным активом. Рассмотрим некоторые правовые аспекты доменного пространства в России и мире.
              Читать дальше →
              • +14
              • 4,2k
              • 1
            • Ой, у вас баннер убежал!

              Ну. И что?
              Реклама
            • Измерения как путь к открытости

                Сегодня все мы живем в мире «подобного». Подобных услуг IP-транзита, нейтрализации DDoS, в общем и целом практически любому цифровому сервису можно найти аналогичный. То есть факт — на рынке существует множество поставщиков услуг. И при сравнении предлагаемых ими услуг между собой у потенциального клиента зачастую небольшой круг возможностей. В итоге потребитель вынужден сравнивать между собой исключительно маркетинговые материалы разных компаний, то есть фактически собственные интерпретации компаний по поводу своих же услуг. Это, как минимум, странно и далеко от объективного сравнения даже по такому простому соотношению как «цена/качество».

                Долгое время этой ситуации не существовало никакой альтернативы. Да, есть аналитические агентства, сравнивающие и анализирующие рыночные предложения; опять же – насколько они являются доступными и готовы ли мы им полностью доверять? Доля рынка, финансовое состояние компании и другие «бизнес-метрики» могут не говорить ровным счётом ничего о качестве сервиса и услуги. В данный момент мы живём в мире сравнения брендов, а не качества предлагаемых ими услуг. На наш взгляд, это достаточно плохой симптом для рынка.

                Однако ситуация меняется и в последнее время стали появляться возможности всё-таки провести бесплатно количественную, и качественную оценку желаемого сервиса до его покупки. И один из лучших таких механизмов — это RIPE Atlas.
                Читать дальше →
              • Как стать самостоятельным регистратором .RU/.РФ

                • Tutorial
                В этой серии статей мы расскажем, как получали аккредитацию, как вы можете получить ее сами и поделимся с вами нашими разработками. Мы в Бегете хотим, чтобы развивались не только мы, но и вся отрасль в целом, так как конкуренция создает хорошие продукты.

                В первой статье будет рассказано об административных процедурах, которые необходимо будет выполнить для получения статуса аккредитованного регистратора. Во второй статье мы расскажем и поделимся нашими разработками для интеграции с КЦ (Координационным центром).



                Читать дальше →
              • Настройка DKIM, SPF и DMARC в Zimbra Collaboration Suite

                  Если при попытке отправить сообщение на почтовые сервера Gmail вы вдруг получили ошибку типа «Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked.», то это почти всегда значит, что на вашем почтовом сервере не настроены DKIM, SFP и DMARC. Крупные почтовые серверы (Gmail, mail.ru, Яндекс) требуют наличие данных записей. Сегодня мы расскажем, как это сделать в Zimbra Collaboration Suite.

                  image
                  Читать дальше →
                • Загадки и мифы SPF

                  • Tutorial


                  SPF (Sender Policy Framework), полное название можно перевести как «Основы политики отправителя для авторизации использования домена в Email» — протокол, посредством которого домен электронной почты может указать, какие хосты Интернет авторизованы использовать этот домен в командах SMTP HELO и MAIL FROM. Публикация политики SPF не требует никакого дополнительного софта и поэтому чрезвычайно проста: достаточно добавить в зону DNS запись типа TXT, содержащую политику, пример записи есть в конце статьи. Для работы с SPF есть многочисленные мануалы и даже онлайн-конструкторы.


                  Первая версия стандарта SPF принята более 10 лет назад. За это время были созданы многочисленные реализации, выработаны практики применения и появилась свежая версия стандарта. Но самое удивительное, что почему-то именно SPF, более чем любой другой стандарт, оброс за 10 лет невероятным количеством мифов и заблуждений, которые кочуют из статьи в статью и с завидной регулярностью выскакивают в обсуждениях и ответах на вопросы на форумах. А протокол, казалось бы, такой простой: внедрение занимает всего пару минут. Давайте попробуем вспомнить и разобрать наиболее частые заблуждения.


                  TL;DR — рекомендации в конце.

                  Читать дальше →
                Самое читаемое