Как стать автором
Обновить
4.33

DNS *

Domain Name System

Сначала показывать
Порог рейтинга
Уровень сложности

Почтовый сервер с нуля. Часть первая

Уровень сложности Средний
Время на прочтение 17 мин
Количество просмотров 19K

Очень часто на этапе стажировки новых сотрудников мы в нашей компании сталкиваемся с типичными простыми ошибками, непониманием работы DNS и почты. При этом обучение новых сотрудников по этой теме — достаточно длительный и сложный процесс, так как сами вопросы требуют построения сложных логических цепочек в голове у начинающего инженера. В один момент мы составили свою вики и схемы для обучения и решили поделиться этим опытом на Хабре в виде серии статей, чтобы людям, которые решили связать свою жизнь с IT вообще и администрированием в частности, стало проще. Материалы этой серии предназначены для начинающих администраторов.

В этом материале будет представлена связка полноценного почтового сервера в виде Exim4+Dovecot+PostfixAdmin+RainLoop.

Читать далее
Всего голосов 16: ↑15 и ↓1 +14
Комментарии 26

Новости

Укрощаем DNS в Wireshark. Часть 1

Уровень сложности Простой
Время на прочтение 5 мин
Количество просмотров 4.6K

О том, как поставить и начать работу в Wireshark, написано множество различных публикаций. Такие базовые вещи, как применение параметров перехвата и работа с фильтрами рассматриваются в различных публикациях. Поэтому в данной статье я не буду подробно рассматривать базовые вещи, вместо этого предлагаю поработать с помощью Wireshark с протоколами прикладного уровня, в частности с DNS. В этой статье мы поговорим о простых DNS запросах, а в следующей рассмотрим более сложные случаи. Но, для начала вспомним немного теории.

Читать далее
Всего голосов 14: ↑11 и ↓3 +8
Комментарии 2

CAA и DNSSEC вкратце: как, зачем и поверхность атаки

Уровень сложности Средний
Время на прочтение 6 мин
Количество просмотров 2.6K

В рамках проекта «Монитор госсайтов» мы стараемся не только демонстрировать, какие все кругом неумехи и лодыри (а мы – в белом жабо), но и показать, что безопасность веб-сайта – это просто, приятно и полезно. Сегодня расскажем о паре технологий, поддержка которых относится к группе А+ нашей методики, то есть желательно, но не обязательно – CAA и DNSSEC.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Управление доменами в облачной Организации Яндекс 360 для бизнеса

Уровень сложности Простой
Время на прочтение 7 мин
Количество просмотров 2K
image

Привет! Я Евгений Артемьев, работаю архитектором решений в Яндекс 360 около года. У меня типичная ИТ-карьера: от инженера технической поддержки в конечных заказчиках до архитектора решений в вендоре.

В этой и предстоящих статьях я сфокусируюсь на темах, полезных для администраторов и технических специалистов разного уровня, которые занимаются поддержкой, настройкой ИТ-инфраструктуры и планируют переход в облако. Также они будут любопытны всем, кто увлекается облачными технологиями.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Комментарии 7

Истории

Маршрутизация по DNS на OpenWrt

Уровень сложности Средний
Время на прочтение 10 мин
Количество просмотров 9.9K

Написать данную статью меня побудили следующие обстоятельства:

Обновление ОС на своём роутере до OpenWrt 23.05, сломавшее мой предыдущий setup, где я делал роутинг по GeoIP.

Многочисленные вопросы знакомых и в дискуссиях в постах на Хабре.

Статья на Хабре, по которой я стал делать и понял, что так делать не надо.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 36

Разработка простого DNS сервера на Go, согласно RFC

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 10K

Привет, Хабр!

В этой статье я хочу рассказать о своем опыте создания DNS сервера. Разрабатывал я его "чисто повеселиться", при разработке будем придерживаться спецификации RFC.

Читать далее
Всего голосов 42: ↑39 и ↓3 +36
Комментарии 10

Анализируем домен компании с помощью OSINT

Время на прочтение 6 мин
Количество просмотров 6.7K

В начале сентября мы перенесли облако NGcloud на новый домен. Перед миграцией проанализировали домен с помощью инструментов OSINT. Зачем? Потому что из сведений о домене хакеры могут добыть массу информации: начиная от данных владельца и заканчивая внутренними документами компании. В этой статье собрали все шаги и бесплатные OSINT-инструменты, которые помогут определить: какая информация о вашей компании есть в открытом доступе, как ее могут использовать злоумышленники и что можете сделать вы, чтобы предотвратить потенциальную атаку. 

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Взлом EPP-серверов для перехвата управления доменными зонами

Уровень сложности Средний
Время на прочтение 12 мин
Количество просмотров 4.1K

В течение нескольких последних десятилетий интернет выстраивался на основе спецификаций и протоколов, которые со временем нередко забывались. Проводимые нами исследования зачастую акцентировались на наиболее часто атакуемых целях (подробнее в статье Web Hackers vs. The Auto Industry), а в течение последних недель мы решили изучить безопасность реестров ccTLD/TLD по всему миру.

Наши усилия в этом направлении привели к получению контроля над зонами DNS следующих ccTLDs: .ai, .bj, .bw, .ci, .gl, .ke, .kn, .lb, .ly, .mr, .ms, .mz, .ng, .py, .rw, .so, .ss, .td, .zm..
Читать дальше →
Всего голосов 55: ↑55 и ↓0 +55
Комментарии 1

Как продлить время автономной работы телефона (VPN+DNS)

Уровень сложности Простой
Время на прочтение 3 мин
Количество просмотров 12K

Надо было мне разобраться получше с iptables и ansible, а для этого нужна задачка. Задачка была выбрана такая: поднять свой VPN сервер с возможностью резки рекламы и прочего spyware.

Суть происходящего при резке рекламы с помощью DNS сервера состоит в том, что когда клиент спрашивает сервер какой IP адрес сопоставлен имени хоста, то DNS сервер отвечает ему 0.0.0.0 В итоге клиент ходит сам к себе и быстро получает отказ, так что не пользуется для этого модемом связи в случае с телефоном. Что экономит батарейку не просто на процент, а при моем режиме использования телефона время автономной работы выросло с 8-10 часов до 23.5. Специально засекал и был мягко говоря удивлен. Как показала практика 85% запросов от телефона это spyware.

Ansible был выбран потому, что для настройки всего даже на настраиваемый сервер заходить не надо, просто нужен доступ по ssh к нему. После настройки конфиги для подключения к VPN будут лежать в папке с плейбуком. Да и сам запуск это одна команда. Не люблю я запоминать, что я там пять лет назад настроил и Ansible для того что бы этого не делать идеален, не говоря уже о прочих его достоинствах. Запустил у себя на ноуте плейбук, он все тебе на сервере настроил, потом отсканил QR код на телефоне, работает.

В качестве DNS сервера с возможностью резать телеметрию и прочую гадость был выбран Pi-hole DNS. Просто потому, что он очень не требователен к ресурсам и мне хватает на амазоне t3.nano ноды, которую мне дали бесплатно на год. При этом я видел на DigitalOcean готовый дрополет Pi-hole VPN, но он прибит к этому провадйеру, а мой плейбук я пробовал уже на двух разных и он просто пашет, плюс там видно все, что он делает. Плюс ко всему при установке он закачивает более 5млн бан записей в DNS что бы не искать их потом.

Читать далее
Всего голосов 24: ↑19 и ↓5 +14
Комментарии 63

Анатомия Интернета: что в имени тебе моём? (DNS)

Уровень сложности Средний
Время на прочтение 33 мин
Количество просмотров 16K

Всем нам нравится писать в строке бровсера https://habr.com/. Никому не
захотелось бы писать там https://178.248.237.68/. К тому же, IP-адрес может
измениться, если Хабр решит перейти на другой хостинг.

Служба Интернета, которая превращает удобные всем имена в IP-адреса,
называется DNS, Domain Name System, "система доменных имен".

В этой статье я собираюсь описать работу DNS с разных аспектов, как с
технических, так и с организационно-административных.

Эта статья не является введением в DNS для начинающих. Скорее, моя
предполагаемая аудитория - это ИТ-профессионалы разной специализации,
которые хотят получше разобраться в анатомии сети Интернет.

Здесь я попытаюсь изложить сложные вещи простым языком, не погрязая в
излишних подробностях - моему читателю судить, насколько мне это
удалось.

Читать далее
Всего голосов 32: ↑31 и ↓1 +30
Комментарии 25

Почему DNS по-прежнему сложно изучать?

Время на прочтение 7 мин
Количество просмотров 11K

Я много пишу о технологиях, которые показались мне сложными. Недавно моя подруга Сумана задала мне интересный вопрос – почему все эти вещи так сложно изучать? Почему они кажутся такими загадочными?

Для примера возьмём DNS. Мы пользуемся DNS с 80-х (больше 35 лет!). Он применяется на каждом веб-сайте Интернета. И он довольно стабилен – во многих смыслах он работает точно так же, как делал это тридцать лет назад.

Но мне понадобились ГОДЫ, чтобы понять, как с уверенностью отлаживать проблемы с DNS, и я видела множество программистов, тоже испытывавших трудности с отладкой проблем DNS. Что же происходит?

Я приведу пару своих рассуждений о том, почему устранять проблемы DNS трудно.

(В этом посте я не буду глубоко объяснять DNS, подробности о его работе см. в моём посте Implement DNS in a Weekend или в других моих постах о DNS.)

Читать далее
Всего голосов 22: ↑19 и ↓3 +16
Комментарии 17

Мы сделали новый DNS*

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 9.2K
* для нашего хостинга :)

И решили мы это сделать потому, DNS нужно выделить в отдельный, самостоятельно разворачиваемый сервис и заодно напилить фичей.


Читать дальше →
Всего голосов 45: ↑42 и ↓3 +39
Комментарии 12

Сбой в работе почтового сервиса @mail.ru

Уровень сложности Простой
Время на прочтение 2 мин
Количество просмотров 4.4K

Все естественно помнят, что существуют базовые проверки почты:

SPF "Sender Policy Framework" (фреймворк политики отправителя) - это метод проверки электронной почты, который позволяет проверять, действительно ли отправитель имеет право отправлять электронные письма от имени определенного домена.

DKIM "DomainKeys Identified Mail" (идентификация почты с помощью домена) - это метод проверки электронной почты, который используется для подтверждения подлинности сообщений, отправленных с определенного домена.

DMARC "Domain-based Message Authentication, Reporting and Conformance" (доменная аутентификация сообщений, отчетность и соответствие) - это метод проверки электронной почты, который позволяет проверять, соответствуют ли SPF и DKIM домену отправителя, и определяет, что делать с сообщениями, которые не соответствуют этим проверкам.

Читать далее
Всего голосов 8: ↑5 и ↓3 +2
Комментарии 4

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн

DNS flood с Mikrotik

Время на прочтение 1 мин
Количество просмотров 15K

Всем привет, дамы и господа. Ну-с начнем.

Предисловие

В одной из обслуживаемых организаций N возникла непонятная ситуация, а именно: на границе стоит некоторая модель Mikrotik с прошивкой 7.7, и вот этот самый Mikrotik самостоятельно генерирует исходящий трафик до 8.1Мбит\с, при этом из локальной сети ничего не выходит.

Читать далее
Всего голосов 31: ↑12 и ↓19 -7
Комментарии 35

Спутниковый VPN: тестируем сеть от Starlink Илона Маска, строим впн на основе WireGuard

Уровень сложности Простой
Время на прочтение 5 мин
Количество просмотров 10K

использование интернета Starlink и протокола WireGuard позволяет обойти цензуру и ограничения доступа к информации, что особенно важно для жителей стран с жесткими режимами. Как отмечает Илон Маск: "Я считаю, что любой, кто желает свободу, должен иметь возможность получить ее" . Для нас важно поддерживать свободу интернета и обеспечивать безопасность передачи данных, поэтому мы решили использовать интернет Starlink и протокол WireGuard для создания VPN сети

Читать далее
Всего голосов 28: ↑15 и ↓13 +2
Комментарии 29

Захватывающая ловля багов, которые портили работу Unbound

Уровень сложности Сложный
Время на прочтение 38 мин
Количество просмотров 12K

Привет, меня зовут Сергей Качеев, я старший разработчик в отделе сетевой инфраструктуры Яндекса. Сегодня я расскажу целый сетевой детектив о том, как мы искали баг, который убивал DNS сервер Unbound. Приготовьтесь, он будет долгим.

Всё началось с того, что мне предложили помочь ребятам из команды DNS найти такие метрики и наборы запросов, по которым будет однозначно понятно, какие настройки влияют на производительность Unbound и какие запросы вызывают у него проблемы.

В самом начале на графиках нагрузочного тестирования я увидел очень плохие результаты: случайным образом абсолютно все запросы нагрузочного теста таймаутились, но сервер, который был под нагрузкой, никак не реагировал на проблему. Как выяснилось позже, по чистой случайности я допустил ошибку в конфигурации нашего плагина Pandora, и в итоге он сам ходил в DNS на каждый запрос, чтобы узнать ip адрес тестируемого сервера. Возможно, это сыграло мне на руку и помогло найти первую из проблем, а потом и вовсе задало вектор поисков остальных багов. А в Unbound их накопилось достаточно.

Читать далее
Всего голосов 95: ↑95 и ↓0 +95
Комментарии 8

Через реки, через лес прямо к PowerDNS

Уровень сложности Сложный
Время на прочтение 43 мин
Количество просмотров 20K

Всем привет! Меня зовут Максим, я руководитель одной из групп эксплуатации инфраструктурных сервисов в Ozon. Наша команда занимается поддержкой и развитием нескольких базовых сервисов компании, одним из которых, по историческим причинам, является сервис разрешения доменных имен (DNS).

В Ozon много различных сервисов и систем. Они общаются друг с другом и внешним миром по доменным именам. DNS — центральное звено, без которого не обходится почти ни одна инфраструктура. Понятно, что когда DNS отдаёт некорректные данные, то это неприятно, когда таймаутит — плохо, когда прилёг — очень плохо, когда прилёг надолго — в принципе, можно расходиться. Значит, одна из основных задач команды инфраструктуры — обеспечить сервисам надёжное и, желательно, быстрое разрешение доменных имён. Об этом мы и поговорим. Также затронем вопросы управления ресурсными записями, жизнь в Multi DC-среде, обслуживание DNS, кеширование, журналирование запросов и возможные проблемы.

Статья может быть полезна коллегам, интересующимся эксплуатацией, архитектурой и высокой доступностью сервисов, да и просто может быть любопытна как история построения инфраструктурной единицы в крупной компании.

Читать далее
Всего голосов 77: ↑77 и ↓0 +77
Комментарии 8

Почему Евросоюз разрабатывает собственную DNS-инфраструктуру

Время на прочтение 3 мин
Количество просмотров 4.9K

В своем блоге мы уже касались темы законодательных инициатив, формирующих мировой интернет-ландшафт. Сегодня говорим про еще один проект, который может изменить расстановку сил на европейском ИТ-рынке. Правда, далеко не все верят в его успешность (и необходимость).

Читать далее
Всего голосов 15: ↑15 и ↓0 +15
Комментарии 12

Сказ о том как pet-project превратился в небольшой пассивный доход (часть 2)

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 6.6K

Первая Часть

Предыдущая часть закончилась неудачной балансировкой, которая не решает практически никаких проблем. В комментариях кто-то спросил, почему я не использовал балансировку на уровне DNS. Так вот, я ее использовал. Оказалось, что c помощью DNS записей можно организовать балансировку Round Robin. Для этого в конфигурации Wireguard всего лишь нужно использовать доменное имя вместо IP адреса.

Читать далее
Всего голосов 22: ↑20 и ↓2 +18
Комментарии 12

Что будет, если хакеры взломают регистратора доменов

Уровень сложности Средний
Время на прочтение 9 мин
Количество просмотров 3.7K

Привет, Хабр!

Меня зовут Ксения Рысаева, я руковожу группой аналитиков в Центре противодействия киберугрозам Innostage CyberART. Мы с командой решили пофантазировать, а что может случиться, если хакер пробьет защиту регистратора доменов. Фантазии быстро улетучились, когда цепочка привела нас к неутешительным выводам — если положить регистратора, пострадают абсолютно все.

Давайте вместе разберемся, что будет, если злоумышленник получит доступ к регистратору домена.

Читать далее
Всего голосов 7: ↑5 и ↓2 +3
Комментарии 5

Вклад авторов