Strephil
DNS dyndns если провайдер выдаёт мне динамический ip-адрес, а я хочу нормальное доменное имя второго уровня, что делать?
в интернетах всюду предлагается использовать всякие костыли: регистрировать третьего уровня No-IP, а потом использовать CNAME.
А как сделать нормально?
Strephil
Linux DNS networkmanager systemd А ещё пока не разобрася, возможно ли, чтобы NetworkManager передавал в systemd-resolved не только адреса DNS-серверов, но и их настройки.
Например, используемый по умолчанию DNS сервер должен использовать DNS over TLS, а используемый в какой-то VPN, используемый для локальных ресурсов внутри той сети — нет. Как это разрулить с помощью NetworkManager, не понятно.
Strephil
Linux DNS networkmanager Пытаюсь разобраться с NetworkManager.
Я б хотел установить по умолчанию ipv4.ignore-auto-dns=true Но! почему-то глобально это сделать нельзя!
В man5 NetworkManager так и написано:
Not all properties can be overwritten, only the following properties are supported to have their default values configuredигноре-ауто-днс в этот список не входит! нужно настраивать вручную для каждого соединения! очень удобно!
Strephil
DNS Жуйк, подскажи, какой хороший текст почитать про DNS, как это всё работает и какой сейчас модно использовать на локалхосте?
DNSCrypt, DNS over HTTPS и т.п.
systemd-resolved, зачем он нужен?
schors
DNS usher2 ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Пришлось сверлить сейф. Реальный физический сейф. Процедура затянулась, сейф успешно вскрыли, но с опозданием:
twitter.com

Мировой DNS спасен. Церемония была проведена:
twitter.com

Видео с церемонии можно посмотреть на официальном сайте IANA:
iana.org

P.S. Хорошо, что всё хорошо закончилось. Уровень заинтересованности и экспертизы заинтерсованных российских органов и организация я «записал в книжечку»
P.P.S. Процессом интересовался мой же чатик в telegram по DNSSEC telegram.me и мой канал
schors
DNS usher2 ⚡️⚡️⚡️ 12 февраля 2019 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Вот начали сверлить сейф. Не фигурально. Реально сверлить физический сейф:
twitter.com

☝️ Роскомадзор и Минцифра не ответили на запрос канала «Эшер II» по ситуации с подписью корневой зоны (подозреваю, что они до сих пор ищут человека, который бы пояснил им суть вопроса). Координационный центр национального домена RU/РФ так пояснил мне своё видение ситуации: «Координационный центр располагает только публично доступной информацией о переносе Root KSK Ceremony 40 по причине неисправности оборудования. По информации ICANN рисков нарушения безопасности и функционирования DNSSEC нет»

🤘 Кстати. Обратите внимание. Сломался сейф — возникла проблема. Вот так выглядит подход к процедурам безопасности. И да, теперь сверление или запасной сейф в другом штате. А не постулаты «верьте нам, мы же серьёзные» и «ну вы же понимаете»
schors
DNS usher2 И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)

✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: slideshare.net
(доклада не существует)

✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: slideshare.net
Видео Часть 1: youtu.be
Видео Часть 2: youtu.be
Видео Часть 3: youtu.be
Видео Часть 4: youtu.be
Видео Часть 5: youtu.be

✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: slideshare.net
Видео: youtu.be

👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
schors
DNS usher2 🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC

Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
twitter.com

Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен

Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
gov-cert.ru
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
Ilya-S-Zharskiy
DNS nslookup getent ahosts nsswitch.conf gethostbyname getaddrinfo resolvectl закрыть тему

а то с 2011 года поднадоела
читайте маны, у кого плохо с английским — читайте учебник английского

Resolve IP адресов в Linux: понятное и детальное описание
habr.com m.habr.com

wiki.archlinux.org

the traditional tool for doing host name lookups is nslookup from bind, but it is being replaced with dig. both tools are dns speciffic and don't use nsswitch. getent hosts uses nsswitch, but much less used superuser.com

man7.org
manpages.debian.org
unix.stackexchange.com
unix.stackexchange.com
superuser.com
unix.stackexchange.com
unix.stackexchange.com
unix.stackexchange.com
unix.stackexchange.com
unix.stackexchange.com
unix.stackexchange.com
unix.stackexchange.com

When one or more key arguments are provided, pass each key to gethostbyaddr(3) or gethostby‐name2(3), depending on whether a call to inet_pton(3) indicates that the key is an IPv6 or IPv4 address or not, and display the result.

ahosts
When no key is provided, use sethostent(3), gethostent(3), and endhostent(3) to enumerate the hosts database. This is identical to using hosts. When one or more key argu‐ ments are provided, pass each key in succession to getad‐ drinfo(3) with the address family AF_UNSPEC, enumerating each socket address structure returned

check /etc/nsswitch.conf to make sure the hosts line contains files when adding manual entries to /etc/hosts doesn't fix it
schors
DNS usher2 Я рекламировал программку для Android, реализующую DNS-over-HTTPS: play.google.com
CloudFlare выпустила программку и для iOS, и для Android для использования своих защищенных серверов DNS.
Для iOS: itunes.apple.com
Для Android: play.google.com

Я кстати рекомендую использовать защищенный DNS. Это может не «имба», но это даёт толчок развитию технологий, уменьшает зловредное использование перехвата. Давайте вместе идти из мракобесия к звездам.
schors
DNS usher2 31 октября около 23 часов по Москве у Яндекса упал их DNS из Яндекс.Коннекта. Хорошо так упал и полежал. Я не мониторю их DNS, не знаю точно сколько. Не знаю, были задеты публичные кэширующие DNS. Я в это время ужинал (ночью на болоте, да) и просматривал семейно м/ф "Букашки. Приключение в долине муравьев" (рекомендую, кстати). Подхожу я к компу и гаджетам. У меня вся личка в социалочках завалена вопросами: "Роскомнадзор заблокировал DNS Яндекса?" Впрочем, и службе поддержки моего хостинга даже досталось.
1. Роскомнадзор, пожалуйста, сделайте какую-нибудь систему мониторинга чувствительных сервисов. Чтобы сразу было понятно "да, это мы", или "да тут и без нас умельцы нашлись". Выяснять, кто из вас набедокурил со стороны не всегда сподручно.
2. Яндекс, технические проблемы у всех бывают, и не могу сказать, что они у вас выше нормы. Но вы хоть мякните куда для ориентации.
schors
DNS «новость о чем-то не приходит одна». Сегодня день DNS. Внимательные читатели прислали мне ссылку на статью на Хабре с ещё одной новостью. Оказывается, Google недавно тихо и без помпы (и вообще без объявления) открыл на свох 8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844 DNS-over-TLS. Да, настоящий, c SSL-сертификатом в том числе на IP-адреса (последние дни настают, да). Похоже там и DoH есть, но неясно как это проверить и какой URL.

habr.com
schors
DNS usher2 Я знаю, что ничего не знаю. Казалось бы я считаю себя специалистом по DNS, но читатели открыли мне нечно новое. Оказывается существует работающая программа для Android (до 9-ой версии, где это «из коробки») с DNS-over-HTTPS:
play.google.com
github.com
schors
DNS usher2 Немного о безопасности и частично о противодействии блокировкам. Как вы помните, я регулярно интересуюсь и разговариваю про DNS: slideshare.net
и youtu.be
Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата. 

Что туда можно поставить, в этот DoH

1.1.1.1 или 1.0.0.1
cloudflare-dns.com
dns.google.com
если есть IPv6 2606:4700:4700::1111
schors
DNS DNSSEC usher2 Ротация ключей DNSSEC прошла более менее успешно. Но конечно сообщают об поломках. У кого-то был на роутерах в микротиках старый ресолвер. Или вот в Monero ключ оказался зашит в код (бу-га-га!!).

schors
DNS usher2 Вы наверное помните, что завтра произойдёт отключение интернета (на самом деле — нет) rg.ru

Что произойдет на самом деле

Произойдет первая в истории ротация корневых ключей DNSSEC. Можно посмотреть например мой доклад опубликованный мною несколько минут назад на канале для общего понимания, что это. Это затронет ресолверы, которые делают проверку DNSSEC. При том, что проникновение DNSSEC в мире меньше 1%, понятно, что плохо натроенные ресолверы мало на что повлияют даже в случае огромного процента таких ресолверов.

Я системный администратор. Как проверить, что мой ресолвер всё делает правильно?

Волшебной командой:
dig @127.0.0.1 dnssec-failed.org a +dnssec
Если результат SERVFAIL, то всё ок, если домен NOERROR и отдал записи, то начинайте беспокоиться и искать, как это исправить.
schors
DNS usher2 Видео моего выступления на Crypto Install Fest 5

«Безопасность DNS. Популярный обзор современной теории и практик».
Проблемы безопасности DNS. Подделка записей и просмотр запросов/ответов. DNSSEC и DNSCurve. Перехват и просмотр запросов ответов. DNSCrypt, DoT, DoH.

➡️ youtu.be

Слайды выложены на Slideshare:
slideshare.net
OCTAGRAM
Яндекс DNS DynCom А Яндекс.ПДД таки крут в своём API. Там я через браузер могу запросы сам поделать, у всех записей есть id, я могу просто этот id забить в конфиг один раз, и потом одним запросом менять и имя, и IP. В Dyn.com записи идентифицируются FQDN и id, но FQDN обязан быть в любом случае, так что требования к хранению того FQDN, который был последний раз, повышаются. И нельзя просто взять и переименовать. Надо удалить и создать новую запись. А ещё там есть какие-то сессии, которые надо открывать и слать им keep-alive. Минимум три запроса против одного у Яндекса.
qrilka
Erlang WTF DNS товагищи авторы OTP как нефиг делать берут и заворачивают {error, try_again} от "нативного" порта для DNS в {error, nxdomain} — какой-то "let it crash так чтоб никто не догадался"
schors
ссылка DNS DNSSEC Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net
schors
DNS Смотрите. Вот у вас машина и рекурсивный DNS. Вы только их включили. Кэши чистые. Вы пингуете с машины... ммм... www.diphost.ru <diphos>. Можете описать кто кого что спрашивает, кто кому что отвечает и по какому алгоритму до получения IP-адреса машиной? Спорим — почти никто без специального гугления не ответит?
praut
DNS DNSSEC DNSCrypt Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org
SolderStain
DNS fail Deadwood Попытался запахать Deadwood из состава MaraDNS. Два года назад работал же. Сейчас — ноль. Порт слушаем, запрос принимаем и тишина. Отадочной информации нет. Потыкав вяло в strace выпилил к херам и воткнул dnsmasq. Разочарован, блин. 4 года работы с аптаймом в 300-400 дён. И тут такое.
Monstreek
DNS покупки СПб Позвонила в dns. Таки везде надо идти лично, и деньги забирать, и покупать в другом месте. Хорошо хоть перерезервировали товар (что я могла и сама сделать, естественно)
Monstreek
DNS покупки СПб "Здравствуйте. Спасибо за Ваше сообщение. К сожалению, в связи с реорганизацией склада, поступление заказов на филиалы задерживается Новость о временных трудностях опубликована на нашем сайте dns-shop.ru Ориентировочная дата поступления Вашего заказа до 27.10. Как только товар поступит на филиал выдачи, Вам придет смс-уведомление "

ну вы понели
segfault
? DNS code
% nslookup github.com
;; Got SERVFAIL reply from 8.8.8.8, trying next server
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find github.com: SERVFAIL

Регуряно испытваю проблемы с днс, в чем может быть проблема? Сначал думал на нетворкманагер, но Got SERVFAIL reply from 8.8.8.8, это вообще возможно?
Monstreek
DNS покупки СПб послезавтра манчкин классический во всех магазинах dns спб будет доступен, лол.
Неделя вместо трех дней, я напишу пожалуй отзыв на их сраный сервис.
Monstreek
DNS СПб у dns написано, что доставка в пункт выдачи три дня и походу будет три дня и ни секундой меньше.В пределах одного города, пары станций метро везти товары три дня...
Monstreek
игры DNS покупки СПб Манчкин был заказан в dns и теперь ожидается смс о поступлении. Это шанс у dns оправдаться в моих глазах. Правда оплатила заранее, во избежание повторения ситуации из прошлого похода.
Манчкина потребовало дите.
Gem
DNS code RuTracker
у rutracker умерли сервера имен

dig SOA rutracker.org +trace

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.7 <<>> SOA rutracker.org +trace
;; global options: +cmd
.                       15439   IN      NS      e.root-servers.net.
.                       15439   IN      NS      a.root-servers.net.
.                       15439   IN      NS      i.root-servers.net.
.                       15439   IN      NS      b.root-servers.net.
.                       15439   IN      NS      h.root-servers.net.
.                       15439   IN      NS      j.root-servers.net.
.                       15439   IN      NS      g.root-servers.net.
.                       15439   IN      NS      c.root-servers.net.
.                       15439   IN      NS      d.root-servers.net.
.                       15439   IN      NS      f.root-servers.net.
.                       15439   IN      NS      l.root-servers.net.
.                       15439   IN      NS      m.root-servers.net.
.                       15439   IN      NS      k.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 88 ms

org.                    172800  IN      NS      a0.org.afilias-nst.info.
org.                    172800  IN      NS      d0.org.afilias-nst.org.
org.                    172800  IN      NS      b0.org.afilias-nst.org.
org.                    172800  IN      NS      c0.org.afilias-nst.info.
org.                    172800  IN      NS      b2.org.afilias-nst.org.
org.                    172800  IN      NS      a2.org.afilias-nst.info.
;; Received 433 bytes from 192.228.79.201#53(192.228.79.201) in 191 ms

rutracker.org.          86400   IN      NS      ns1.rutracker.org.
rutracker.org.          86400   IN      NS      ns2.rutracker.org.
dig: couldn't get address for 'ns1.rutracker.org': no more
AlexVK
DNS nginx Капец. Перевернул ввер хном все настройки, включил чуть ли не отладочные логи чтобы в итоге выяснить что тормозит ... dns.
2 ip на 1 хост и при обращении к хосту тормоза через раз...