| |
| 2.21, Аноним (-), 00:00, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Ты прям как сталин: "нет того - нет сего"
Тогда вот так "Думайте сами, решайте сами - иметь или не иметь."
| | |
|
| |
| 2.8, Аноним (-), 01:17, 28/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Хорошо еще, что не remote code execution, как в старые добрые времена.
| | |
|
| |
| |
| 3.9, Аноним (-), 01:42, 28/07/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
>>Обновился :-powerdns
> Исправил, не благодари
Обновись до powerdns и получи пачку глюков в самых неожиданных местах. Зато зоны в РСУБД, че.
| | |
| |
| 4.12, Аноним (-), 07:53, 28/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Не, у меня и powerdns тоже есть. И зоны в файлах как у BIND, powerdns такое умеет, ага.
| | |
| 4.33, PnD (??), 11:04, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Для авторитатива лучше nsd. Никаких рюшек (типа geoip), зато хрен прошибёшь. Единственный косяк - твёрдое следование rfc в 3.х, что в части CNAME откровенно мешает. Подписанные зоны встречаются пока куда реже, чем надобность форварднуть домен "не глядя".
Где без рюшек никак - берём bind|pdns по вкусу и делегируем им нужный кусок. С pdns возни на старте больше, зато на выходе - вполне шустрый DNS с клиентской мордой.
| | |
| |
| |
| 6.41, Аноним (-), 17:45, 29/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это в 1993 был бы хороишй совет. в 2013 - лишь показывает что ты кретин.
| | |
|
|
|
|
|
| 1.6, Sabakwaka (ok), 00:24, 28/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Прекрасно.
А то ЗАДРАЛИ китайцы за последнюю неделю...
Только RRL патч нужно указать при сборке.
По умолчанию отключен.
| | |
| |
| 2.7, Вонни (?), 00:52, 28/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
в nsd все это давно реализовано
--enable-ratelimit Enable rate limiting
--enable-draft-rrtypes Enable draft RRtypes.
--with-max-ips=number Limit on the number of ip-addresses that may be specified
| | |
| |
| 3.10, Sabakwaka (ok), 01:48, 28/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>> в nsd все это давно реализовано
Страшновато, блеин, переходить с БИНДа...
Особенно в преддверии подъёма IDN почты...
| | |
| |
| 4.14, Вонни (?), 12:11, 28/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>> в nsd все это давно реализовано
> Страшновато, блеин, переходить с БИНДа...
> Особенно в преддверии подъёма IDN почты...
nginx + nsd = что может быть проще?
| | |
| |
| 5.16, Sabakwaka (ok), 13:51, 28/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>>> в nsd все это давно реализовано
>> Страшновато, блеин, переходить с БИНДа...
>> Особенно в преддверии подъёма IDN почты...
> nginx + nsd = что может быть проще?
Да уже почитал про nsd...
Нужно будет перейти на nsd, конечно.
Впечатляющая производительность и нетребовательность к ресурсам.
| | |
| |
| 6.30, SubGun (ok), 09:58, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Впечатляющая производительность и нетребовательность к ресурсам.
jadifa?
| | |
| |
| 7.32, Аноним (-), 10:46, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
www.nlnetlabs.nl/blog/2013/07/08/nsd4-tcp-performance/
www.nlnetlabs.nl/blog/2013/07/05/nsd4-performance-measurements/
| | |
|
|
|
| 4.19, Аноним (-), 23:11, 28/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
смотря на что.
если на unbound или djbdns - даже проще. и с ходе миграции и тем более поотом.
если на powerdns или более монструозное - то всякое возможно :(
| | |
| |
| |
| 6.36, Аноним (-), 15:56, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
да упаси бог !!
в самых страшных кошмарах не приснится такой монстр !
лучше уж страдать в "кирпичном" BIND(хотя десятка это немного перебор).
| | |
|
|
|
|
|
| 1.11, Нанобот (ok), 03:02, 28/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 >RRL является способом справиться с проблемой на стороне DNS-серверов
мечтать не вредно
| | |
| |
| 2.17, Sabakwaka (ok), 15:09, 28/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>RRL является способом справиться с проблемой на стороне DNS-серверов
>мечтать не вредно
Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
| | |
| |
| 3.26, Dfox (?), 09:36, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
О чом вы?
| | |
| |
| 4.37, Sabakwaka (ok), 16:03, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
> О чом вы?
Об отаках, с которыми спровляется RRL.
| | |
| |
| 5.40, Dfox (?), 17:34, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Об отаках, с которыми спровляется RRL.
Я просто не понимаю по каким критериям вы хотите отлавливать ip для PF и как RRL поможет
спровлятся с подобными атаками.
| | |
| |
| 6.43, Sabakwaka (ok), 18:54, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Я просто не понимаю по каким критериям вы хотите отлавливать
>> ip для PF и как RRL поможет спровлятся с подобными атаками.
Парсим логи БИНДа, находим таймаутные отлупы БИНДа назойливым постоянным клиентам.
Это в 100% — амплификаторы и в 99% — из Китая.
Суём IP, с которых идет амплификация, в PF.
А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.
| | |
| |
| 7.44, Dfox (?), 19:16, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.
Да для некоторых днс серверов ето вариант, но например сервер который обслужывает домен первого уровня спокойно может отдавать 500 мегабит и зоны там большые, если просчитаться с лимитом запроса
то атакующий просто может подставлять ip днсов крупного провайдера которого просто забанят.
Да и для атаки ето не помеха, просто нужно больше днс серверов подходящих найти.
В итоге с одной стороны как RRL создайот трудности для атаки но по сути они не критичны.
| | |
|
|
|
|
|
|
| |
| 2.22, 123 (??), 02:13, 29/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.
| | |
| |
| 3.23, Led (ok), 02:29, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.
Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.
| | |
| |
| 4.29, SubGun (ok), 09:57, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.
Странно, что не ляпнул: "Это сурковская пропаганда"
| | |
|
| 3.25, Клыкастый (ok), 09:34, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 в венде? дооооо.... они bsd-шный стек, уже готовый, пришпандорить к своей поделке не могли без дырок. фрагментацию пакетов не осилили, позорники. уровень ниже горбатых поделок новичков-программистов.
| | |
| 3.28, SubGun (ok), 09:56, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.
Не совсем так. Просто виндовые dns почти нигде, кроме внутренней сети, не применяются.
| | |
| |
| 4.39, Sabakwaka (ok), 17:28, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Атаке подвержен, вообще-то, любой DNS.
Это проблема индустрии, такая же, как голый SMTP.
DNSSEC надо, однако.
А его, однако, 0,000000000000000000000000000000.00% клиентов может использовать.
Нужна неотключаемая поддержка DNSSEC искаропки на каждом дескпоце.
А ее нет, млеа.
| | |
|
| 3.42, Аноним (-), 17:48, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.
То то я посмотрю весь мир на видновых днс-ах живёт :))))
Это новно из локалки не выпускают даже злобные буратины, а те кому море по колено ужо давно огреьли вою премию Дарвина :)
| | |
| |
| 4.46, Anonimous (?), 12:34, 03/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Просто если ломанут виндовый DNS, то может возникнуть много проблем. Особенно если он AD держит.
А линуховые? Ну ломанули, ну снесли этот линух и откатили из бэкапа. Ломать бессмысленно, ничего важного нет.
| | |
|
|
|
|
