janPona

Короче, купил эсэсдишнег специально, чтобы на нем крутить винду. Ну там, архикады, говнокады, вы понели.

Ну а винда она коварная. Взяла на другом винте (!), где у меня бубунта стояла, перезатёрла МБР.

Не на другом разделе, на другом устройстве.

Ну похуй мне. Я залез в лойфсиди, скачал какую-то утиль по восстановлению груба. Впадлу было команду вспоминать. Ну и восстановил.

А она мне за какимто хуем ядро обновила, судя по всему.

Ну я, короче, радуюсь приобретению винды, накатываю архикады-говнокады, весело матюкаюсь на тупой майкрософт, ну, как обычно.

И тут решил перезагрузиться в бубунту. Бубунта пашет, всё нормально. Хочу написать об этом в жуйк, и тут — хуяк — сетки нет.

СЕТКИ НЕТ, СУКА!

Притом, айпишники все пингуются, нету DNS. Ну, думаю, не беда. Иду в этот ваш НетворкМанагер, смотрю — там DNS нормальный прописан. Мой роутер. Прописываю 8.8.8.8 — нихуя.

Ну, думаю, ща.

nslookup gay.ru
Connection timeout

Ага! Что-то блочит DNS.

Но, с другой стороны, ведь:

nslookup gay.ru 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: gay.ru
Address: 213.183.33.8

Что это? Как это? DNS есть, он работает, он прописан в свойствах сетевого подключения, но никто его не использует!

И тут я вспоминаю страшилки про то, что реалтековские сетевухи, мол, после того, как винда их попользует, становятся, типа, "законтаченными". В них, мол, какой-то флаг устанавливается, который линукс не может снять. Или микропрограмма какая-то, или Wake-On-LAN (WOL) шалит — ну в общем, винда юзает что-то проприетарное и делает сетевуху нахуй неюзабельной для линукса. И я в это поверил (забегая вперёд скажу, что зря) и полез копать в этом направлении.

Я был уверен, что надо отключить WOL (ну или включить — разные ответы на StackOverflow трактовали проблему по-разному). Перезагрузился в винду, долго искал настройки WOL, потом оказалось, что надо ж, бля, драйвер обновить на сетевуху, и тогда они появятся. Обновил драйвер, отключил WOL. Полез в биос, отключил WOL в биосе.

Бутнулся в линукс — нихуя.

Выдернул шнур питания из розетки, как советовали бывалые.

Бутнулся в линукс — нихуя.

И тут меня осенило — надо сменить mac-адрес. Сменил mac-адрес, чтоб в линуксе был не тот, что в винде. Ну мало ли, вдруг роутер тупит. Нихуя.

И тут я решил вспомнить, что в бубунте, тащемта, на самом деле все DNS-запросы прилетают на локалхост, а обслуживает их демон resolvconf.

Лезу в /etc/resolv.conf, а там nameserver 127.0.0.53. Хм... Странный адрес, у меня на рабочем ноуте всё же 127.0.1.1.

nslookup gay.ru 127.0.0.53
Connection timeout. Huy vam.

nslookup gay.ru 127.0.0.1
Connection timeout. Huy vam.

Ага!!!

sudo service resolvconf status

Дек 03 23:37:14 blackhole resolvconf[8271]: /etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

Ага, сука!!! Вот оно!

Оказывается, утилита говённого восстановления GRUB, обновила мне ядро и зачем-то перезаписала /etc/resolv.conf. За каким хуем она это сделала, и почему именно так — остаётся загадкой. Но стоило мне вернуть предыдущий айпишник (127.0.1.1), как сеть в линуксе заработала.

Так я отметил международный день дуалбута.

schors

Я рекламировал программку для Android, реализующую DNS-over-HTTPS: play.google.com
CloudFlare выпустила программку и для iOS, и для Android для использования своих защищенных серверов DNS.
Для iOS: itunes.apple.com
Для Android: play.google.com

Я кстати рекомендую использовать защищенный DNS. Это может не «имба», но это даёт толчок развитию технологий, уменьшает зловредное использование перехвата. Давайте вместе идти из мракобесия к звездам.

schors

31 октября около 23 часов по Москве у Яндекса упал их DNS из Яндекс.Коннекта. Хорошо так упал и полежал. Я не мониторю их DNS, не знаю точно сколько. Не знаю, были задеты публичные кэширующие DNS. Я в это время ужинал (ночью на болоте, да) и просматривал семейно м/ф "Букашки. Приключение в долине муравьев" (рекомендую, кстати). Подхожу я к компу и гаджетам. У меня вся личка в социалочках завалена вопросами: "Роскомнадзор заблокировал DNS Яндекса?" Впрочем, и службе поддержки моего хостинга даже досталось.
1. Роскомнадзор, пожалуйста, сделайте какую-нибудь систему мониторинга чувствительных сервисов. Чтобы сразу было понятно "да, это мы", или "да тут и без нас умельцы нашлись". Выяснять, кто из вас набедокурил со стороны не всегда сподручно.
2. Яндекс, технические проблемы у всех бывают, и не могу сказать, что они у вас выше нормы. Но вы хоть мякните куда для ориентации.

schors
DNS

«новость о чем-то не приходит одна». Сегодня день DNS. Внимательные читатели прислали мне ссылку на статью на Хабре с ещё одной новостью. Оказывается, Google недавно тихо и без помпы (и вообще без объявления) открыл на свох 8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844 DNS-over-TLS. Да, настоящий, c SSL-сертификатом в том числе на IP-адреса (последние дни настают, да). Похоже там и DoH есть, но неясно как это проверить и какой URL.

habr.com

schors

Я знаю, что ничего не знаю. Казалось бы я считаю себя специалистом по DNS, но читатели открыли мне нечно новое. Оказывается существует работающая программа для Android (до 9-ой версии, где это «из коробки») с DNS-over-HTTPS:
play.google.com
github.com

schors

Немного о безопасности и частично о противодействии блокировкам. Как вы помните, я регулярно интересуюсь и разговариваю про DNS: slideshare.net
и youtu.be
Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата. 

Что туда можно поставить, в этот DoH

1.1.1.1 или 1.0.0.1
cloudflare-dns.com
dns.google.com
если есть IPv6 2606:4700:4700::1111

schors

Ротация ключей DNSSEC прошла более менее успешно. Но конечно сообщают об поломках. У кого-то был на роутерах в микротиках старый ресолвер. Или вот в Monero ключ оказался зашит в код (бу-га-га!!).

schors

Вы наверное помните, что завтра произойдёт отключение интернета (на самом деле — нет) rg.ru

Что произойдет на самом деле

Произойдет первая в истории ротация корневых ключей DNSSEC. Можно посмотреть например мой доклад опубликованный мною несколько минут назад на канале для общего понимания, что это. Это затронет ресолверы, которые делают проверку DNSSEC. При том, что проникновение DNSSEC в мире меньше 1%, понятно, что плохо натроенные ресолверы мало на что повлияют даже в случае огромного процента таких ресолверов.

Я системный администратор. Как проверить, что мой ресолвер всё делает правильно?

Волшебной командой:
dig @127.0.0.1 dnssec-failed.org a +dnssec
Если результат SERVFAIL, то всё ок, если домен NOERROR и отдал записи, то начинайте беспокоиться и искать, как это исправить.

schors

Видео моего выступления на Crypto Install Fest 5

«Безопасность DNS. Популярный обзор современной теории и практик».
Проблемы безопасности DNS. Подделка записей и просмотр запросов/ответов. DNSSEC и DNSCurve. Перехват и просмотр запросов ответов. DNSCrypt, DoT, DoH.

➡️ youtu.be

Слайды выложены на Slideshare:
slideshare.net

OCTAGRAM

А Яндекс.ПДД таки крут в своём API. Там я через браузер могу запросы сам поделать, у всех записей есть id, я могу просто этот id забить в конфиг один раз, и потом одним запросом менять и имя, и IP. В Dyn.com записи идентифицируются FQDN и id, но FQDN обязан быть в любом случае, так что требования к хранению того FQDN, который был последний раз, повышаются. И нельзя просто взять и переименовать. Надо удалить и создать новую запись. А ещё там есть какие-то сессии, которые надо открывать и слать им keep-alive. Минимум три запроса против одного у Яндекса.

qrilka

товагищи авторы OTP как нефиг делать берут и заворачивают {error, try_again} от "нативного" порта для DNS в {error, nxdomain} — какой-то "let it crash так чтоб никто не догадался"

schors

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net

schors
DNS

Смотрите. Вот у вас машина и рекурсивный DNS. Вы только их включили. Кэши чистые. Вы пингуете с машины... ммм... www.diphost.ru <diphos>. Можете описать кто кого что спрашивает, кто кому что отвечает и по какому алгоритму до получения IP-адреса машиной? Спорим — почти никто без специального гугления не ответит?

praut

Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org

SolderStain

Попытался запахать Deadwood из состава MaraDNS. Два года назад работал же. Сейчас — ноль. Порт слушаем, запрос принимаем и тишина. Отадочной информации нет. Потыкав вяло в strace выпилил к херам и воткнул dnsmasq. Разочарован, блин. 4 года работы с аптаймом в 300-400 дён. И тут такое.

Monstreek

"Здравствуйте. Спасибо за Ваше сообщение. К сожалению, в связи с реорганизацией склада, поступление заказов на филиалы задерживается Новость о временных трудностях опубликована на нашем сайте dns-shop.ru Ориентировочная дата поступления Вашего заказа до 27.10. Как только товар поступит на филиал выдачи, Вам придет смс-уведомление "

ну вы понели

segfault

% nslookup github.com
;; Got SERVFAIL reply from 8.8.8.8, trying next server
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find github.com: SERVFAIL

Регуряно испытваю проблемы с днс, в чем может быть проблема? Сначал думал на нетворкманагер, но Got SERVFAIL reply from 8.8.8.8, это вообще возможно?

Monstreek

у dns написано, что доставка в пункт выдачи три дня и походу будет три дня и ни секундой меньше.В пределах одного города, пары станций метро везти товары три дня...

Monstreek

Манчкин был заказан в dns и теперь ожидается смс о поступлении. Это шанс у dns оправдаться в моих глазах. Правда оплатила заранее, во избежание повторения ситуации из прошлого похода.
Манчкина потребовало дите.

Gem

у rutracker умерли сервера имен

dig SOA rutracker.org +trace

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.7 <<>> SOA rutracker.org +trace
;; global options: +cmd
.                       15439   IN      NS      e.root-servers.net.
.                       15439   IN      NS      a.root-servers.net.
.                       15439   IN      NS      i.root-servers.net.
.                       15439   IN      NS      b.root-servers.net.
.                       15439   IN      NS      h.root-servers.net.
.                       15439   IN      NS      j.root-servers.net.
.                       15439   IN      NS      g.root-servers.net.
.                       15439   IN      NS      c.root-servers.net.
.                       15439   IN      NS      d.root-servers.net.
.                       15439   IN      NS      f.root-servers.net.
.                       15439   IN      NS      l.root-servers.net.
.                       15439   IN      NS      m.root-servers.net.
.                       15439   IN      NS      k.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 88 ms

org.                    172800  IN      NS      a0.org.afilias-nst.info.
org.                    172800  IN      NS      d0.org.afilias-nst.org.
org.                    172800  IN      NS      b0.org.afilias-nst.org.
org.                    172800  IN      NS      c0.org.afilias-nst.info.
org.                    172800  IN      NS      b2.org.afilias-nst.org.
org.                    172800  IN      NS      a2.org.afilias-nst.info.
;; Received 433 bytes from 192.228.79.201#53(192.228.79.201) in 191 ms

rutracker.org.          86400   IN      NS      ns1.rutracker.org.
rutracker.org.          86400   IN      NS      ns2.rutracker.org.
dig: couldn't get address for 'ns1.rutracker.org': no more

AlexVK

Капец. Перевернул ввер хном все настройки, включил чуть ли не отладочные логи чтобы в итоге выяснить что тормозит ... dns.
2 ip на 1 хост и при обращении к хосту тормоза через раз...

oxyd

Эта... А у кого как щас DNS-ы работают? Те-же гугловые? Чот у меня ни один домен не резолвится. Тот-же juick.com причём даже через провайдерский ДНС не алё.

ugnich

Создаю две зоны в DNS сервисе Azure. Один домен работает нормально, второй — не отдает NS записи. Час ломаю голову, ищу причину, всё бесполезно. Плюю на всё, экспортирую зону в файл, удаляю всё подчистую, импортирую зону из файла (ничего не меняя) — работает! Всё в лучших традициях Windows 95! :)
P.S. Linux cервер в Azure, тем не менее, работает без проблем и нареканий.

schors
DNS

А есть какой-нибудь сервис, который проверяет DNS-сервера и зону на них? Типа вот тут какой-нибудь тайминг не настроет, тут версия DNS-севрера с багом, несовместимая с чем-то. Я тут начал регулярно ловить проблему "у меня говорит, что домена нет" от клиентов, но не могу понять в каком месте лажа, не могу воспроизвести. Чисто гипотетически это может быть связано с переходом моих DNS с BIND на NSD

schors
DNS

А передача зоны AXFR реально проблема на больших конфигурациях? Или это проблема крайне специфичных случаев? Мне поддержка IXFR кажется более сложной и ведущей к косякам, багам и неожиданностям