Как стать автором
Обновить
5.07

DNS *

Domain Name System

Сначала показывать
Порог рейтинга
Уровень сложности

Как защитить свой публичный сайт с ESNI

Время на прочтение 5 мин
Количество просмотров 12K
Привет Хабр, меня зовут Илья, я работаю в платформенной команде компании Exness. Мы разрабатываем и внедряем базовые инфраструктурные компоненты, которые используют наши продуктовые команды разработки.

В этой статье я бы хотел поделиться опытом внедрения технологии encrypted SNI (ESNI) в инфраструктуре публичных веб-сайтов.


Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Комментарии 27

Как регистратор доменов «Регистратор Р01» сдает своих клиентов

Время на прочтение 4 мин
Количество просмотров 37K


После регистрации домена в зоне .ru собственник-физическое лицо, проверяя его на whois сервисе, видит запись: 'person: Private Person', и на душе становится тепло и надежно. Private — это звучит серьезно.


Оказывается, эта защищенность иллюзорна — по крайней мере, когда дело касается третьего по величине в России регистратора доменных имен ООО "Регистратор Р01". И твои личные данные у него очень легко может узнать абсолютно любой человек.

Читать дальше →
Всего голосов 139: ↑131 и ↓8 +123
Комментарии 120

История о пропавших DNS-пакетах от техподдержки Google Cloud

Время на прочтение 8 мин
Количество просмотров 6.4K
От редактора блога Google: Интересовались ли вы когда-нибудь тем, как инженеры Google Cloud Technical Solutions (TSE) занимаются вашими обращениями в техподдержку? В сфере ответственности инженеров технической поддержки TSE лежит обнаружение и устранение указанных пользователями источников проблем. Некоторые из этих проблем довольно просты, но иногда попадается обращение, требующее внимания сразу нескольких инженеров. В этой статье один из сотрудников TSE расскажет нам про одну очень заковыристую проблему из своей недавней практики — случай с пропадающими пакетами DNS. В ходе этого рассказа мы увидим, каким образом инженерам удалось разрешить ситуацию, и что нового они узнали в ходе устранения ошибки. Мы надеемся, что эта история не только расскажет вам о глубоко укоренившемся баге, но и даст понимание процессов, проходящих при подаче обращения в поддержку Google Cloud.



Устранение неполадок это одновременно и наука, и искусство. Все начинается с построения гипотезы о причине нестандартного поведения системы, после чего она проверяется на прочность. Однако, прежде чем сформулировать гипотезу, мы должны четко определить и точно сформулировать проблему. Если вопрос звучит слишком расплывчато то вам придется как следует все проанализировать; в этом и заключается «искусство» устранения неполадок.
Читать дальше →
Всего голосов 32: ↑31 и ↓1 +30
Комментарии 4

Проблемы с DNS в Kubernetes. Публичный постмортем

Время на прочтение 4 мин
Количество просмотров 4.5K
Прим. перев.: это перевод публичного постмортема из инженерного блога компании Preply. В нем описывается проблема с conntrack в Kubernetes-кластере, которая привела к частичному простою некоторых сервисов продакшна.

Данная статья может быть полезной тем, кто хочет узнать немного больше о постмортемах или предотвратить некоторые потенциальные проблемы с DNS в будущем.

image

Это не DNS
Не может быть что это DNS
Это был DNS

Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 10

Истории

Как регистратор проверяет доступность доменного имени на примере REG.RU

Время на прочтение 3 мин
Количество просмотров 4.7K
image

Данная статься не является ни рекламой ни антирекламой как сервиса REG.RU, так и упомянутых ниже других компаний. Я не являюсь сотрудником REG.RU или заинтересованной стороной, суть написанного несет исключительно развлекательно-ознакомительный характер.

Итак, поехали!
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Комментарии 10

История системы доменных имен: «войны» протоколов

Время на прочтение 3 мин
Количество просмотров 8K
Продолжаем говорить об истории DNS. Обсуждаем точку зрения экспертов и компаний, выступающих за и против внедрения протоколов DNS over HTTPS и DNS over TLS, а также спецификации EDNS.

Читать дальше →
Всего голосов 16: ↑13 и ↓3 +10
Комментарии 0

История DNS: когда доменные имена стали платными

Время на прочтение 3 мин
Количество просмотров 11K
Ранее мы начали рассказывать историю системы доменных имен и поговорили о модификациях, сделанных в DNS. На очереди — изменения, которые ИТ-сообщество встретило не лучшим образом.

Читать дальше →
Всего голосов 25: ↑16 и ↓9 +7
Комментарии 3

Структура DNS пакета

Время на прочтение 7 мин
Количество просмотров 37K

Предисловие


Решил как то написать снифер DNS, так сказать just for fun. Просто посмотреть какие адреса в моей системе резолвятся. Протокол старый, документации должно быть много. Много. Но все статьи очень не полные и заканчиваются, на самом интересном моменте. Да, есть rfc1035, но хотелось бы на русском и с пояснениями. Собственно по накоплению опыта и разбора пакета и созрела данная статья. Она рассчитана на тех, кто понимает, что такое DNS и понимает, что бывают запросы и ответы. Для тех, кто хочет немного разобраться в структуре данного протокола.

Статья предполагает теорию, а потом немного практики.
Читать дальше →
Всего голосов 31: ↑29 и ↓2 +27
Комментарии 6

Кто предложил децентрализовать корневую зону DNS

Время на прочтение 3 мин
Количество просмотров 10K
Группа инженеров предложила заменить корневые DNS-серверы peer-to-peer сетью на базе блокчейна. Рассказываем, что об этой инициативе думает ИТ-сообщество.

Читать дальше →
Всего голосов 18: ↑16 и ↓2 +14
Комментарии 57

Passive DNS в руках аналитика

Время на прочтение 4 мин
Количество просмотров 8.1K

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.


В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:


  • Доменное имя
  • IP-адрес запрошенного доменного имени
  • Дату и время ответа
  • Тип ответа
  • и т.д.

Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.


image

Рисунок 1. Passive DNS (взят с сайта Ctovision.com)

Читать дальше
Всего голосов 13: ↑13 и ↓0 +13
Комментарии 2

Обход блокировок РКН с помощью DNSTap и BGP

Время на прочтение 10 мин
Количество просмотров 58K


Тема довольно изъезжена, знаю. К примеру, есть отличная статья, но там рассматривается только IP-часть блоклиста. Мы же добавим еще и домены.


В связи с тем, что суды и РКН блокируют всё направо и налево, а провайдеры усиленно пытаются не попасть под штрафы, выписанные "Ревизорро" — сопутствующие потери от блокировок довольно велики. Да и среди "правомерно" заблокированных сайтов много полезных (привет, rutracker)


Я живу вне юрисдикции РКН, но на родине остались родители, родственники и друзья. Так что было решено придумать легкий для далеких от ИТ личностей способ обхода блокировок, желательно вовсе без их участия.


В этой заметке я не буду расписывать базовые сетевые вещи по шагам, а опишу общие принципы как можно реализовать эту схему. Так что знания как работает сеть вообще и в Linux в частности — must have.

Читать дальше →
Всего голосов 35: ↑32 и ↓3 +29
Комментарии 42

Поднимаем свой DNS-over-HTTPS сервер

Время на прочтение 11 мин
Количество просмотров 56K

Различные аспекты эксплуатации DNS уже неоднократно затрагивались автором в ряде статей опубликованных в рамках блога. При этом, основной акцент всегда делался на повышение безопасности этого ключевого для всего Интернет сервиса.


DOH


До последнего времени, несмотря на очевидность уязвимости DNS трафика, который, до сих пор, по большей части, передаётся в открытом виде, для злонамеренных действий со стороны провайдеров, стремящихся повысить своих доходы за счёт встраивания рекламы в контент, государственных силовых органов и цензуры, а также просто преступников, процесс усиления его защиты, несмотря на наличие различных технологий, таких как DNSSEC/DANE, DNScrypt, DNS-over-TLS и DNS-over-HTTPS, буксовал. И если серверные решения, а некоторые из них существуют уже довольно долгое время, широко известны и доступны, то поддержка их со стороны клиентского программного обеспечения оставляет желать много лучшего.

Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Комментарии 29

Чем живёт домашний интернет и статистика сервера доменных имён

Время на прочтение 6 мин
Количество просмотров 6.1K
Домашний роутер (в данном случае FritzBox) умеет многое регистрировать: сколько трафика когда ходит, кто с какой скоростью подключён и т.п. Узнать, что скрывается под непонятными адресатами, мне помог сервер доменных имён (DNS) в локальной сети.

В целом, DNS оказал положительное влияние на домашнюю сеть: добавил скорость, устойчивость и управляемость.

Ниже приведена диаграмма, которая вызвала вопросы и необходимость разбираться в происходящем. В результатах уже отфильтрованы известные и рабочие запросы к серверам доменных имён.

По какой причине каждый день опрашиваются 60 непонятных доменов во время, когда все ещё спят?

Каждый день опрашиваются 440 неизвестных доменов в активное время. Кто это такие и что они делают?
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Комментарии 16

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн

Распределённые социальные сети

Время на прочтение 8 мин
Количество просмотров 5.2K
Я не имею аккаунта в фейсбук и не пользуюсь твиттером. Несмотря на это, каждый день я читаю новости о принудительном удалении публикаций и блокировке аккаунтов в популярных социальных сетях.

Сознательно ли социальные сети берут на себя ответственность за мои публикации? Изменится ли это поведение в будущем? Может ли социальная сеть отдать нам наш контент, и какие для этого требуются изменения в социальных сетях? Как возможные изменения повлияют на рынок IT?
Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Комментарии 9

Что-что случится 1 февраля 2020 года?

Время на прочтение 4 мин
Количество просмотров 15K
TL;DR: начиная с февраля 2020 года, DNS-серверы, не поддерживающие обработку DNS-запросов как по UDP, так и по TCP, могут перестать работать.

Это продолжение поста «Что-что случится 1 февраля?» от 24 января 2019 г. Читателю рекомендуется бегло ознакомиться с первой частью истории, дабы понимать контекст.

Бангкок, вообще, место на любителя. Конечно, там тепло, дёшево, и кухня интересная, и визы половине населения Земли туда не нужно получать заблаговременно, однако к запахам надо ещё привыкнуть, а городские улицы заставляют в лучшем случае вспомнить классику киберпанка.

В частности, пейзаж слева наблюдается недалеко от центра столицы Таиланда, через одну улицу от отеля Shangri-La, где 12-13 мая прошло 30-е собрание организации DNS-OARC, некоммерческой организации, занимающейся вопросами безопасности, стабильности и развития системы доменных имён DNS.

Слайды из программы DNS-OARC 30 в принципе рекомендуются к изучению всем, кого интересует работа DNS, однако самое, пожалуй, интересное — это то, чего в слайдах не было. А именно, 45-минутный круглый стол с обсуждением результатов DNS Flag Day, случившегося 1 февраля 2019 года.

А самое интересное в круглом столе — решение, что практика DNS Flag Day будет продолжена.
Читать дальше →
Всего голосов 32: ↑29 и ↓3 +26
Комментарии 5

Делегирование обратной зоны подсети менее /24 в BIND. Как это работает

Время на прочтение 4 мин
Количество просмотров 8.7K
Встала однажды передо мной задача, отдать одному из клиентов право на редактирование PTR-записей отданной ему подсети /28. Автоматизации для редактирования настроек BIND извне у меня нет. Поэтому я решил пойти другим путем — делегировать клиенту кусок PTR-зоны подсети /24.

Казалось бы — что может быть проще? Просто нужным образом прописываем подсеть и направляем на нужный NS как это делается с поддоменом. Но нет. Не так все просто (хотя на деле вообще примитивно, но интуиция не поможет ), поэтому я и пишу эту статью.

Кто захочет сам разобраться, тот может почитать RFC
Кто хочет готового решения, добро пожаловать под кат.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 3

Автоматизация управления Let's Encrypt SSL сертификатами используя DNS-01 challenge и AWS

Время на прочтение 5 мин
Количество просмотров 4.6K

Пост описывает шаги для автоматизации управления SSL сертификатами от Let's Encrypt CA используя DNS-01 challenge и AWS.


acme-dns-route53 — это инструмент, который позволит нам реализовать данную фичу. Он умеет работать с SSL сертификатами от Let's Encrypt, сохранять их в Amazon Certificate Manager, использовать Route53 API для реализации DNS-01 challenge, и, в конце, пушить уведомления в SNS. В acme-dns-route53 так же присутствует built-in функционал для использования внутри AWS Lambda, и это то, что нам нужно.

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 11

GitHub полностью «удалил» репозиторий утилиты для обхода блокировок и весь аккаунт создателя

Время на прочтение 2 мин
Количество просмотров 149K
10 апреля 2019 года GitHub без объявления войны удалил репозиторий популярной утилиты GoodByeDPI, предназначенной для обхода государственных блокировок (цензуры) сайтов в Интернете.


UPD от 13.04.2019
Сухие факты. Недоступен не только репозиторий, а весь аккаунт целиком. Хотя для любого постороннего пользователя всё выглядит, как удаление, на самом деле — это shadowban, о чем сообщил автор. Далее он признался, что намеренно сохранил магнет-ссылки на видео со сценами убийств в Новой Зеландии на публичной странице своего аккаунта. Позже экспериментально выяснили, что блокировку автору программы для борьбы с блокировками дали автоматические алгоритмы. Но было и предположение, что бан был за спам с диапазона IP, к которому принадлежит автор. ТЧК

UPD от 16.04.2019
Судя по всему, shadowban с аккаунта ValdikSS снят, все репозитории восстановлены. Причина была в ссылках на видео со стрельбой.

Что такое DPI, как связан с блокировками и зачем с ним бороться (по версии автора):
Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.
Читать дальше →
Всего голосов 231: ↑172 и ↓59 +113
Комментарии 409

Cloudflare представила собственный VPN-сервис на базе приложения 1.1.1.1 для мобильных устройств

Время на прочтение 5 мин
Количество просмотров 66K
Вчера, полностью серьезно и без каких-либо шуток-прибауток, компания Cloudflare анонсировала свой новый продукт — VPN-сервис на базе DNS-приложения 1.1.1.1 для мобильных устройств с использованием собственной технологии шифрования Warp. Основной фишкой нового продукта Cloudflare является простота — целевой аудиторией нового сервиса являются условные «мамы» и «друзья», которые не способны самостоятельно купить и настроить классический VPN или не согласны устанавливать прожорливые в плане энергопотребления сторонние приложения от неизвестных команд.



Напомним, ровно год и один день назад — 1 апреля 2018 года — компания запустила свой публичный DNS 1.1.1.1, аудитория которого за прошедший период выросла на 700%. Сейчас 1.1.1.1 борется за внимание публики с уже ставшим классическим DNS от Google по адресу 8.8.8.8. Позже, 11 ноября 2018 года, CloudFlare запустили мобильное приложение 1.1.1.1 для iOS и Android и вот теперь, на его базе запускается и «VPN по кнопке».
Читать дальше →
Всего голосов 46: ↑43 и ↓3 +40
Комментарии 21

DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт

Время на прочтение 9 мин
Количество просмотров 80K


Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в связи с особенностями эксплуатации этой атаки, а также мало ощутимыми, как тогда казалось, последствиями. Сегодня мы попробуем убедить в обратном их и вас, в частности, продемонстрировав, что в современном мире эта атака обрела второе дыхание и более не кажется такой безобидной.

Читать дальше →
Всего голосов 146: ↑143 и ↓3 +140
Комментарии 163

Вклад авторов