El_Gato_Grande 24 июн в 16:45

DNS-хостинг для начинающих: разбираемся в многообразии ресурсных записей

9 мин

9.3K

Блог компании SelectelХостингIT-инфраструктура*Сетевые технологии*IT-стандарты*

+57

Комментарии 13

ALexhha 24 июн в 17:24

То есть злоумышленник может просто прочитать текст в запросе или ответе и
точно узнать, какую информацию кто-то запрашивает, отправляет или
получает.

ну не так то и просто, для начала ему надо каким то способом получить доступ к транзитному трафику

Рассмотрим на примере. Допустим, у нас есть MX-запись example.com, в которой для значения 203.0.113.102 установлен приоритет 10, а для значения 198.51.100.5 — 20.

использовать ip адреса в mx очень не рекомендуется. А еще нельзя ссылаться на CNAME

A.EXAMPLE.ORG    IN    MX    10   MX1.EXAMPLE.ORG <== OK
A.EXAMPLE.ORG    IN    MX    15   192.123.456.789 <== NOT OK

А еще почта будет работать и без MX записи

SSHFP (Secure Shell Fingerprint) — это тип записи, который содержит отпечаток ключа, используемый сервером при подключении по протоколу SSH. Запись помогает предотвратить MITM-атаки (Man-in-the-Middle) и содержит поля algorithm, type и fingerprint.

это все классно, но кто его на практике использует и в каких продуктах оно уже доступно из коробки ?

fuser 26 июн в 11:21

кто его на практике использует и в каких продуктах оно уже доступно из коробки

в ~/.ssh/config добавить "VerifyHostKeyDNS yes"

sav13 24 июн в 17:29

А TXT ?
Без нее сейчас ни один почтовый сервер не строить
Тот же GOOGL без этих записей будет банить почту

ALexhha 24 июн в 17:41

Где то недавно пробегало, что Google вроде без DMARC/DKIM уже не принимает

NAI 24 июн в 23:40

без DKIM давно уже никто не принимает (ну нормальные сервера)

DMARC - бесполезная херота, до сих пор не понимаю чего ее так проталкивают, во-первых отчеты должны обрабатываться автоматом, чего не делает никто из моего круга, во-вторых, ну окей узнали мы что кто-то из Китая\Африки\Анголы пытается слать спамм от нашего имени, дальше то что делать с этой информацией? Абузы строчить? Ну такое себе... мы тут пытались прову написать в МСК, были посланы.

SlavikF 25 июн в 01:07

Много лет пользуюсь DNS, есть несколько своих доменов, сайты, почта. Но вот первый раз узнал про ALIAS. Сразу пошёл к своему регистратору - Cloudflare... а там нет их, не поддерживается ALIAS.

А ещё сегодня узнал, что вот именно Cloudflare умеет CNAME для доменов 2го уровня. Но так мало какие регистраторы могут.

fortyseven 26 июн в 15:05

CF такое умеет, у них это называется CNAME flattering )

NcxLdMc 25 июн в 05:24

Вопрос: если имеется основной домен ivanov.ru на одном ip, а домен vasia.ivanov.ru нужно разместить на другом ip. Создание отдельной записи типа A вроде как решает проблему, но периодически выходит ошибка DNS_PROBE_FINISHED_NXDOMAIN

ALexhha 25 июн в 09:32

но периодически выходит ошибка DNS_PROBE_FINISHED_NXDOMAIN

dig, nskookup, host в помощь

fortyseven 26 июн в 15:06

Странно, какие ещё есть записи в зоне?
Стабильно ли работает DNS хостинг сам по себе?

Radiohead72 25 июн в 10:32

Нужно больше простых практических примеров.

Тут сухое описание из которого многое непонятно.

fortyseven 26 июн в 15:07

Давайте расширим) какие у вас остались вопросы?

censor2005 26 июн в 08:56

Впервые слышу про записи типа SVCB, HTTPS и SSHFP. Сами на работе поднимали ДНС парковку для клиентов, ни разу ни один клиент не просил добавить поддержку этих типов записей ) Вот SRV да, некоторые используют.

А DNSSEC это целый отдельный мир, там куча типов записей - DS, CDS, DNSKEY, CDNSKEY, RRSIG, NSEC/NSEC3 и так далее

Зарегистрируйтесь на Хабре, чтобы оставить комментарий