← All posts tagged DNS

schors

Я рекламировал программку для Android, реализующую DNS-over-HTTPS: play.google.com
CloudFlare выпустила программку и для iOS, и для Android для использования своих защищенных серверов DNS.
Для iOS: itunes.apple.com
Для Android: play.google.com

Я кстати рекомендую использовать защищенный DNS. Это может не «имба», но это даёт толчок развитию технологий, уменьшает зловредное использование перехвата. Давайте вместе идти из мракобесия к звездам.

schors

31 октября около 23 часов по Москве у Яндекса упал их DNS из Яндекс.Коннекта. Хорошо так упал и полежал. Я не мониторю их DNS, не знаю точно сколько. Не знаю, были задеты публичные кэширующие DNS. Я в это время ужинал (ночью на болоте, да) и просматривал семейно м/ф "Букашки. Приключение в долине муравьев" (рекомендую, кстати). Подхожу я к компу и гаджетам. У меня вся личка в социалочках завалена вопросами: "Роскомнадзор заблокировал DNS Яндекса?" Впрочем, и службе поддержки моего хостинга даже досталось.
1. Роскомнадзор, пожалуйста, сделайте какую-нибудь систему мониторинга чувствительных сервисов. Чтобы сразу было понятно "да, это мы", или "да тут и без нас умельцы нашлись". Выяснять, кто из вас набедокурил со стороны не всегда сподручно.
2. Яндекс, технические проблемы у всех бывают, и не могу сказать, что они у вас выше нормы. Но вы хоть мякните куда для ориентации.

schors
DNS

«новость о чем-то не приходит одна». Сегодня день DNS. Внимательные читатели прислали мне ссылку на статью на Хабре с ещё одной новостью. Оказывается, Google недавно тихо и без помпы (и вообще без объявления) открыл на свох 8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844 DNS-over-TLS. Да, настоящий, c SSL-сертификатом в том числе на IP-адреса (последние дни настают, да). Похоже там и DoH есть, но неясно как это проверить и какой URL.

habr.com

schors

Я знаю, что ничего не знаю. Казалось бы я считаю себя специалистом по DNS, но читатели открыли мне нечно новое. Оказывается существует работающая программа для Android (до 9-ой версии, где это «из коробки») с DNS-over-HTTPS:
play.google.com
github.com

schors

Немного о безопасности и частично о противодействии блокировкам. Как вы помните, я регулярно интересуюсь и разговариваю про DNS: slideshare.net
и youtu.be
Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата. 

Что туда можно поставить, в этот DoH

1.1.1.1 или 1.0.0.1
cloudflare-dns.com
dns.google.com
если есть IPv6 2606:4700:4700::1111

schors

Ротация ключей DNSSEC прошла более менее успешно. Но конечно сообщают об поломках. У кого-то был на роутерах в микротиках старый ресолвер. Или вот в Monero ключ оказался зашит в код (бу-га-га!!).

schors

Вы наверное помните, что завтра произойдёт отключение интернета (на самом деле — нет) rg.ru

Что произойдет на самом деле

Произойдет первая в истории ротация корневых ключей DNSSEC. Можно посмотреть например мой доклад опубликованный мною несколько минут назад на канале для общего понимания, что это. Это затронет ресолверы, которые делают проверку DNSSEC. При том, что проникновение DNSSEC в мире меньше 1%, понятно, что плохо натроенные ресолверы мало на что повлияют даже в случае огромного процента таких ресолверов.

Я системный администратор. Как проверить, что мой ресолвер всё делает правильно?

Волшебной командой:
dig @127.0.0.1 dnssec-failed.org a +dnssec
Если результат SERVFAIL, то всё ок, если домен NOERROR и отдал записи, то начинайте беспокоиться и искать, как это исправить.

schors

Видео моего выступления на Crypto Install Fest 5

«Безопасность DNS. Популярный обзор современной теории и практик».
Проблемы безопасности DNS. Подделка записей и просмотр запросов/ответов. DNSSEC и DNSCurve. Перехват и просмотр запросов ответов. DNSCrypt, DoT, DoH.

➡️ youtu.be

Слайды выложены на Slideshare:
slideshare.net

schors

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net

schors
DNS

Смотрите. Вот у вас машина и рекурсивный DNS. Вы только их включили. Кэши чистые. Вы пингуете с машины... ммм... www.diphost.ru . Можете описать кто кого что спрашивает, кто кому что отвечает и по какому алгоритму до получения IP-адреса машиной? Спорим — почти никто без специального гугления не ответит?

schors
DNS

А есть какой-нибудь сервис, который проверяет DNS-сервера и зону на них? Типа вот тут какой-нибудь тайминг не настроет, тут версия DNS-севрера с багом, несовместимая с чем-то. Я тут начал регулярно ловить проблему "у меня говорит, что домена нет" от клиентов, но не могу понять в каком месте лажа, не могу воспроизвести. Чисто гипотетически это может быть связано с переходом моих DNS с BIND на NSD

schors
DNS

А передача зоны AXFR реально проблема на больших конфигурациях? Или это проблема крайне специфичных случаев? Мне поддержка IXFR кажется более сложной и ведущей к косякам, багам и неожиданностям

schors
DNS

2015 год на дворе. ни один DNS-сервер не умеет нормально провизионинг делать. BIND эксперементально и без темплейтов, NSD только темплейтами, knot... knot конфиг перечитывает

schors
DNS

Ну что за эпидерсия, 2015 год, ни один нормальный DNS-сервер нормально не документирован. Вообще не один. С bind всегда сидишь гадаешь, что именно делает каждая из 1000 опций и какие подпорки понадобятся. NSD/Knot на уровне основного README светят рудиментами 10-летней давности

schors
DNS

я правильно понимаю, что просто хорошего (не супер-пупер, там даже без anycast) импортозамещенного хостинга в РФ нету да? P.S. минутка непонимания и лучей поноса к составителям API RU-CENTER DNS-хостинг

schors
DNS

интересный вопрос... ноябрь 2014. хочу авторитативный DNS-сервер. хочу, чтобы зоны можно было динамически докидывать. хочу updates. хочу DNSSEC. и хочу как-то соорудить VIEW. чего сейчас модно, кошерно и хорошо?