The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC

31.01.2024 11:13

30 января в 18:20 (MSK) пользователи столкнулись с массовым сбоем определения хостов в доменной зоне RU, вызванный ошибкой при смене ключей, используемых для заверения достоверности зоны RU через DNSSEC. В результате инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".ru". Проблема затронула только пользователей, использующих DNS-резолверы провайдеров или публичные DNS-сервисы, такие как 8.8.8.8, верифицирующие достоверность запросов при помощи DNSSEC. Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Произошедшее напоминает прошлогодний инцидент с регистратором InternetNZ, отвечающим за доменную зону ".NZ", который привел к сбою в разрешении доменных имён в зоне ".nz" из-за ошибки при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). В случае с InternetNZ ошибка была связана с изменением формата ключей при переходе на новую информационную систему регистратора. Причины инцидента в зоне RU пока не детализированы - Координационный центр доменов RU лишь в общих чертах подтвердил, что проблема связана с перенастройкой DNSSEC.

Судя по внешним проявлениям, сбой произошёл в результате попытки замены ключа, используемого для верификации зоны RU. Данный ключ является корнем доверия для остальных ключей, применяемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия. 26 января в настройках DNSEC зоны RU в дополнение к основному ключу с идентификатором 44301 появился дополнительный ключ 52263.

Вчера примерно в 18:20 новый ключ был задействован для верификации записей в зоне RU, но после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности.

Подпись старым ключом была возвращена около 21 часа (MSK), а первый корректный ответ был зафиксирован сервисом dnsviz.net в 22:07 (MSK). Сбойные настройки присутствовали примерно два с половиной часа, но из-за оседания ошибочных записей в кешах DNS-серверов для полного восстановления требуется дополнительное время, если принудительно не очистить кэш на рекурсивных DNS-серверах. Некоторые провайдеры решили проблему более оперативно и радикально, временно отключив в настройках своих резолверов верификацию через DNSSEC.



  1. Главная ссылка к новости (https://cctld.ru/media/news/kc...)
  2. OpenNews: Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ
  3. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC. Обновление BIND с устранением уязвимостей
  4. OpenNews: DNSSEC на корневых DNS-серверах будет введён в эксплуатацию 5 мая
  5. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  6. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60527-dns
Ключевые слова: dns, dnssec, domain
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (242) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:33, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности

    А в чем ошибка была, собственно?

     
     
  • 2.9, Аноним (9), 11:44, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY. Они параллельно пилят отечественный изолированный DNS (НСДИ, национальная система доменных имён), видимо ключи  c ним перепутали. Но подробностей что у них случилось пока нет, лишь общие отписки.
     
     
  • 3.28, Аноним (28), 11:58, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –8 +/
    А почему давно не запилили, DNS разве не на СПО зиждится?
     
     
  • 4.77, Ананий (?), 13:10, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причем тут СПО и зачем что-то пилить?
    Косплеить корневой сервер можно хоть на MS Шиндовс

    Все и так готово к своим доменным именам.
    Делаешь свой корневой сервер, пилишь там свои зоны с поэтессами и настраиешь свой комплюктер на взаимодействие с ним.
    Все тоже самое, но в масштабах государства.

    Если захотят прозрачно, то из-за этих ваших днс-секов и днс-офер-хттп клаудфларесеков - не получится. А так заворачивать 8.8.8.8 на свои научились уже давно.

     
  • 3.36, Аноним (36), 12:15, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY.

    Похоже, у них там свой набор верхних корневых днс-серверов. Его ключом и подписали. Но выдали в запросах с общепринятых корневых, а не со своих. Ждать осталось недолго, когда теневая система заменит основную. Шифрование/сертификаты - там всему можно перестать доверять уже сейчас.

     
     
  • 4.42, Бывалый смузихлёб (?), 12:28, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +7 +/
     
     
  • 5.51, Аноним (51), 12:39, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.37, Аноним (37), 12:15, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >видимо ключи c ним перепутали

    А какой смысл использовать разные ключи?

     
  • 3.52, нах. (?), 12:44, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было.

    Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.

     
     
  • 4.54, Аноним (54), 12:49, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Но поскольку это кого надо НСДИ

    Наверное больше потому, что от НСДИ почти никто из потребительского сегмента пока не зависит, поэтому прошло почти незаметно.

     
     
  • 5.55, нах. (?), 12:52, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Еще как уже зависят. Просто тебе об этом не доложат.

    Просто поскольку он сам себе корень - его дернуть можно было без шума и пыли. Ну а насколько оно нечаянно получилось (те кто переключили свои ресолверы на НСДИ вряд ли сегодня отключат) - это вот вопрос к товарищмайору. Но у нас с тобой не те звания чтоб нам донесли ответ.

     
     
  • 6.85, San (??), 13:24, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Докладываю: ни один провайдер долго не проработает, если его днс-серверы не будут подключены к НСДИ. Могу утверждать, как сотрудник провайдера выполнявший данные требования на днс-серверах нашей компании.
     
     
  • 7.86, нах. (?), 13:27, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чего тут тогда все у всех навернулось? Они ж там всепачинили через пять минут после того как кто-то умный показал на ошибку.

    Где-то что-то ты привираешь. Как они могут проверить что и куда у тебя там подключено? Роспозоровская коробка этого не умеет, никаких "ежедневных выгрузок" (где тоже смешно потому что проверяется что ты их скачал а не куда именно засунул) и вроде никаких очевидных способов.

     
  • 7.122, Ivan_83 (ok), 14:38, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть разные схемы подключения к НСДИ.
     
  • 4.154, Аноним (154), 15:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было.

    Быстренько? Да он минут 20 косплеил под всех отвечая на всё SRVFAIL. А потом там додумались или отключить валидацию или подсунуть свой ключ.

    А корень .ru просто за DDoSили резолверы, которые тыкались во все прописанные в зоне адреса, получали подписанный ответ, проверяли, выкидывали и так по кругу.

    >Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.

    Да не, это хорошо. Представляю, сколько лавок вспомнило, что умный админ таки нужен, а не "Петрович из отдела продаж настроил, он умеет".

     
  • 3.153, Sw00p aka Jerom (?), 15:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    может железке по середке не установили новый ключ? :)
     
  • 2.39, Bonjovi (?), 12:20, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Здесь все намного проще. Перед выборами шaтaют не только интернет, но и сотовую сеть. У меня и еще нескольких соседей последнюю неделю МТС жестко сбоил (отключалась симка, пропадала связь, либо не работал мобильный инет). Читал, что на днях к опcоcам пришли в гости cилoвики и опять что-то там "модернизировали". Видимо, готовятся к неким событиям ближайшего будущего... Так что впереди нас ждет еще много интересного...
     
     
  • 3.215, Аноним (215), 21:14, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    4ебурнет на завершающей стадии
     

  • 1.2, Аноним (2), 11:34, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ЯПОЭЗ:

    https://sockpuppet.org/blog/2015/01/15/against-dnssec/

     
     
  • 2.57, Ivan_83 (ok), 12:53, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    +1
    DNSSec для конечных потребителей устарел с тех пор как гугл всех на https натянул.

    У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких проблем с инетом не было.
    Некоторые провайдеры тоже додумались что так можно починить, остальные просто жевали сопли и не понимали что происходит и что делать.

     
     
  • 3.63, Аноним (63), 12:56, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    DNSSec - это защита от недобросовестности Гугла, не?
     
     
  • 4.75, Ivan_83 (ok), 13:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет Это когда то ходили байки что можно отравить кеш резолвера посылая ему пост... большой текст свёрнут, показать
     
  • 3.88, нах. (?), 13:30, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > +1
    > DNSSec для конечных потребителей устарел с тех пор как гугл всех на
    > https натянул.

    да он и раньше-то нахрен был не нужен. Очередная диверсия от профессоров далеких от реальности и не пользующихся компьюктором, на денежки которые все равно нельзя было потратить на гостинницу в Майами (а вот тут стало можно - мы соберем в ней конференцию по DNSSEC!)


    > У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких
    > проблем с инетом не было.

    а там точно нет каких glue records которые просто перестали отдаваться?

     
     
  • 4.94, Ivan_83 (ok), 13:37, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не дебажил.
    Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как работало так и продолжило.

    Насколько я понял проблема была в том, что для зоны ru ответы всех DNS серверов второго+ уровня стали дропатся как не валидные из за DNSSec.
    А раз он у некоторых был отключён то для них ничего не поменялось.

     
     
  • 5.136, нах. (?), 14:48, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не дебажил.
    > Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как
    > работало так и продолжило.

    а там на диске нет кэша gtld ?
    > Насколько я понял проблема была в том, что для зоны ru ответы
    > всех DNS серверов второго+ уровня стали дропатся как не валидные из
    > за DNSSec.

    там вопрос в том чтоб . тебе glue records отдал - а то он же полезет (или нет?!) проверять в зону ru,  ой, ключ неправильный, нибуду нихачю натебе servfail

     
     
  • 6.159, Ivan_83 (ok), 15:21, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На диске вроде никаких кешей нет, только рутовые сервера и может их ключи.
    DNSSec у меня выключен:
    module-config: "iterator"
    (если бы включён был то это "validator iterator"), поэтому никаких ошибок в принципе нет и не будет.
     
     
  • 7.202, fuggy (ok), 19:28, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да выходит валидатор выключил и не увидел возможной подмены днс, в то время как остальных dnssec защитил от возможной подмены. Безопасность уровня: я отключил антивирус, а то он пищит и мешает файлы открывать.
     
     
  • 8.208, Ivan_83 (ok), 19:57, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Покажите мне успешные атаки на отравление кеша, тогда будет иметь смысл продолжа... текст свёрнут, показать
     
     
  • 9.244, Sem (??), 18:40, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Твоя безопасность - это твое дело Никто не должен тебе ничего доказывать ... текст свёрнут, показать
     
  • 3.243, suffix (ok), 16:55, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну не скажите.

    Допустим у Вас очень большое количество пользователей ведут переписку по email. Руководство озаботилось шифрованием переписки и выбрало для этого s/mime. Ну получили Вы сертификаты s/mime на каждый email адрес. И как теперь распространить это по всей огромной толпе пользователей ? А сертификаты ещё и менять периодически надо !

    Всем пользователям устанавливается Thunderbird и плагин к нему Great DANE for Thunderbird, а все сертификаты s/mime помещаются в DNS записи SMIMEA. И всё будет проверяться, шифроваться автоматом у всех и менять сертификаты  легко - достаточно запись SMIMEA изменить. Разумеется чтобы это надёжно работало эти записи SMIMEA в DNS должны быть подписаны DNSSEC.

     
     
  • 4.255, Аноним (255), 20:06, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > очень большое количество пользователей ведут переписку по email

    Бывает.

    > Всем пользователям устанавливается Thunderbird и плагин

    Не бывает. У всех пользователей уже стоит Outlook, в котором шифрование емейлов из коробки.

     

  • 1.3, Карлос Сношайтилис (ok), 11:38, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Причины инцидента в зоне RU пока не детализированы

    Свидетельство канарейки?

    > временно отключив в настройках своих резолверов верификацию через DNSEC

    Да уж можно и не включать. Наверняка ещё пару экспериментов надо провести, пока научатся

     
     
  • 2.27, keydon (ok), 11:58, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да уж можно и не включать. Наверняка ещё пару экспериментов надо провести, пока научатся

    И по http ходить на всякий случай. Вдруг он тоже сломается.

     
     
  • 3.35, rvs2016 (ok), 12:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И по http ходить на всякий случай

    Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу, а пользователи сайтов не разбираются в том, что эту помойку в сайты наталкивает Ростелеком и обвиняют в этом хозяев сайтов. Приходится использовать https.

    Да и когда по требованию РКН сайт блокируют, то на месте http-сайта появляется фишинговая страница с информацией о блокировке сайта (если блокируют порчей отдаваемого с веб-сервера потока, а не заменой ip-адреса сервера в его зоне), а через https такая страница появляться наверно ж не должна (не проверял, ибо после перевода сайтов на httpы их по требованиям РКН не блокировали у нас уж).

     
     
  • 4.41, Бывалый смузихлёб (?), 12:24, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По http вроде бы как можно было заблокировать конкретную страницу, на которой и содержится нарушение, т.е сам ресурс мог оставаться вполне доступным
    Тогда как с https - вообще всё нафиг рубится
     
     
  • 5.43, rvs2016 (ok), 12:30, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да Можно заблокировать только одну страницу И РКН в своём требовании к провайд... большой текст свёрнут, показать
     
     
  • 6.92, Бывалый смузихлёб (?), 13:36, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Тогда как с https - вообще всё нафиг рубится
    > А с https всё отрубится как, если с веб-сервера к клиенту будет
    > идти https-поток, в который никто не сможет вставить спам о том,
    > что "страница заблокирована по решению тра ля ля"?
    > Это вот если они для блокировки в зоне подменят ip-адреса веб-сервера, то
    > на своём подставном веб-сервере, конечно, напишут про то, что "заблокирована тра
    > ля ля".

    Они порой ничего не пишут - страница тупо не открывается, падая по превышению времени ожидания

     
  • 4.80, Ананий (?), 13:16, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу

    Лол, таким еще кто-то занимается?
    Помню пяток лет назад этим сначала стали промышлять билайны-мтс, пихая ссыль на личный кабинет, потом местячковые провайдеры уже с рекламой. Но и те и другие быстро огребли, да еще насладились радостными отзывами в тех поддержку, из-за чего через пару месяцев прекратили безобразничать.


     
     
  • 5.96, rvs2016 (ok), 13:39, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага Занимаются да притом ещё как После того, как мы наши сайты на https перекл... большой текст свёрнут, показать
     
     
  • 6.107, Maxim Chirkov (ok), 14:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Опеннетовские страницы, бывает, из rss открываю, и на страницах Опеннета в таких случаях тоже замечаю

    Можете точнее написать в каких RSS остаются ссылки на http? Я вроде очень давно везде переделал только на https, но может где-то пропустил. HTTP на opennet должен оставаться только при прямом входе на внутренние страницы, в остальных случаях должно перебрасывать на HTTPS.

    Разбор подстановки рекламы от ростелекома: https://opennet.ru/52444

     
     
  • 7.112, rvs2016 (ok), 14:20, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    http www opennet ru openforum forum_vsluhforumID4 rss https www opennet ru o... большой текст свёрнут, показать
     
     
  • 8.170, Maxim Chirkov (ok), 16:54, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Поправил, теперь там только https ... текст свёрнут, показать
     
  • 6.114, Аноним (114), 14:22, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня так opennet в закладках оставался как http. После переустановки ос сначала удивлялся, что за дичь лезет, потом посмотрел, что это от ростелекома подарки
     
  • 6.280, Анонимщик (?), 10:45, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На http сайт сейчас еще постараться надо, чтобы зайти. Все хромо-клоны верещат как резаные при открытии http.
     
  • 5.222, Аноним (222), 22:27, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как постоянный пользователь Мегафона подтверждаю, тоже регулярно вставляет рекламу в http.
     
  • 3.61, Ivan_83 (ok), 12:55, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У меня мой сайт только по http, https есть но там самоподписной сертификат.
    Нет смысла ложится под американцев в плане доступности.
     
     
  • 4.91, нах. (?), 13:35, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня мой сайт только по http, https есть но там самоподписной
    > сертификат.
    > Нет смысла ложится под американцев в плане доступности.

    У тебя уже  ж есть не легший под американцев аналоговнеимеющей браузер который не покажет при этом пустое место или вообще СТРАШНУЮ СТРАНИЦУ ПОЛНУЮ НЕВЕДОМОЙ ХРЕНИ вместо сайта?

    Или твой сайт такое ненужно что еще и к паблик интернету вообще не подключен?

     
     
  • 5.95, Ivan_83 (ok), 13:38, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Подключён, и иногда на него даже кто то попадает :)
    Но в целом там странное и мало кому нужное :)
     
     
  • 6.125, нах. (?), 14:41, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Подключён, и иногда на него даже кто то попадает :)
    > Но в целом там странное и мало кому нужное :)

    ну так с тем же успехом мог бы и вообще его выключить, надежно, безопастно, днс ниннуна.

    Большинство-то держит свой сервер чтобы либо поделиться с кем-то информацией, либо коготу...э...поделить.

    Мне, любимому, для себя и ftp хватит (и я его адрес кстати помню без всякого dns)

     
     
  • 7.156, Ivan_83 (ok), 15:11, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже чтобы поделится.
    В своё время послал хубр и перетащил всё к себе.
    Но это весьма специфичная инфа, думаю максимум 10к людям в год такое надо.

    Я слишком много переезжал и долго сидел на динамическом IP чтобы помнить IP :)
    И уже давно по IPv6 тоже доступен.

     
  • 4.97, rvs2016 (ok), 13:45, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну когда пользователям на http-сайте пишешь про то, что, дескать, тоарищи, помой... большой текст свёрнут, показать
     
     
  • 5.124, Ivan_83 (ok), 14:40, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня нет такой проблемы, а проблемы абонентом ростелекома меня не волнуют, впрочем и я им тоже не нужен :)

    Но вы похоже не очень во всём разбираетесь, ибо помойку ростелека можно было заблочить на уровне браузеров, просто добавив нужные заголовки в ответ.

     
     
  • 6.184, rvs2016 (ok), 18:23, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какие заголовки надо с веб-сервера отправить вместе со страницей в браузер польз... большой текст свёрнут, показать
     
     
  • 7.191, Ivan_83 (ok), 19:05, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте про: "Content-Security-Policy" заголовок.
     
     
  • 8.199, rvs2016 (ok), 19:20, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Почитал Заголовок-то интересный Но узел, через который от веб-сервера к веб-бр... текст свёрнут, показать
     
  • 5.128, нах. (?), 14:43, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    кстати, когда я увидел таки единственный раз (правда не ростелек а мегафон) на любимом опеннете - я даже не сразу понял, что это неправильная реклама.

    Потому что она очень аккуратно была всунута вместо рекламы опеннета - на то же место или рядышком (но спалились потому что та заблочена ублоком... ну ок, добавил еще и эту тоже)

    Т.е. пострадавших на самом деле вообще было ровно ноль.

     

     ....большая нить свёрнута, показать (24)

  • 1.4, Аноним (4), 11:40, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Надуюсь подробный публичный отчет будет по инциденту. Не очень красиво получилось.
     
     
  • 2.6, Аноним (4), 11:41, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Надуюсь, если не будет, а так надеюсь. =)
     
  • 2.29, 12yoexpert (ok), 11:59, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Он будет, но вам его не покажут. Если вы не с той стороны социума, конечно
     
     
  • 3.47, Бывалый смузихлёб (?), 12:33, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    На днях( кажись, в минувшую пятницу. Ночь-раннее утро ) примерно так же отвалились забугорные ресурсы
    Вообще нифига не отрывалось но дзен работал
    Примечательно, что вообще никто не заметил

    Нынче - ru-сайты

    Уж было думал что провайдер халтурит
    Но ему повезло. На этот раз

    > Он будет, но вам его не покажут. Если вы не с той стороны социума, конечно

    Дело не в сторонах социума, а в наличии смысла
    Какой толк от того что аноним узнает точные детали ?
    Ну пожмёт плечами, скажет "ну ок" и что, он что ли в след. раз будет прибегать исправлять падение сети ?

     
     
  • 4.71, 12yoexpert (ok), 13:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не падения сети нужно двигать, а...
     
  • 3.131, нах. (?), 14:44, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Он будет, но вам его не покажут. Если вы не с той
    > стороны социума, конечно

    да, у товарищмайора-то на столе лежит, учения по мягкому принуждению на переключение на национальный чебурнет выполнены успешно, результат достигнут, количество запросов выросло на столько-то... но нам он его, увы, не покажет.


     
  • 2.46, Аноним (46), 12:33, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Надуюсь подробный публичный отчет

    Это должен быть не отчет, а процесс! Ибо - повреждение критической инфраструктуры.

     
     
  • 3.233, Аноним (233), 05:19, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали
     

  • 1.5, Аноним (1), 11:41, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ждем пополнения списка https://ianix.com/pub/dnssec-outages.html
     
     
  • 2.14, Аноним (4), 11:48, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фигасебе списочек там. В какую интересно номинацию попадет.

    Мне очень зашла "Long DNSSEC outages".

     

  • 1.7, Аноним (7), 11:42, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вчера половина рунета отвалилась, да. Затронуло в основном пользователей DoH, остальным можно подсовывать любой левый трафик под видом настоящего.
     
     
  • 2.20, Пряник (?), 11:53, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Максимум увидишь SEC_ERROR_UNKNOWN_ISSUER.
     
     
  • 3.23, Аноним (7), 11:56, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Страшно-страшно, браузер отказался открывать.
     
  • 2.40, Random (??), 12:23, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отключил временно DNSSEC на домашнем сервере, всё заработало.
     
  • 2.64, Ivan_83 (ok), 12:58, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Потому что DoH/DoT и публичные 8.8.8.8 и пр аналоги держат те же дятлы которые не отключают DNSsec, в итоге результат их использования в лучшую сторону не отличался.
    Притом локальные провайдеры некоторые додумались DNSSec отключить или он у них был выключен и у их пользователей всё работало.
     
     
  • 3.76, Аноним (7), 13:09, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот год назад вроде мега отвалилась, сейчас какие-то бесполезные сайты в рунете. Стоит ли отключать из-за очередного человеческого фактора dnssec? Это чтобы добавить ещё человеческого фактора в ситуацию, видимо, да?
     
     
  • 4.84, Ivan_83 (ok), 13:22, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем его включать когда большая часть трафика под TLS?
     
     
  • 5.93, Аноним (7), 13:36, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем его включать когда большая часть трафика под TLS?

    Чтобы не подменяли сайты на подконтрольные. Толку от tls, когда сертификаты часто совершенно левые? Как много пользователей вручную следит за внезапными сменами сертификатов на любимых сайтах? Я вот припоминаю несколько случаев, когда сертификаты с сайтами таким образом подменяли в РФ.

     
     
  • 6.99, Ivan_83 (ok), 13:47, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы поддразумеваете что надо проделать огромную работу по отравлению кеша и выпус... большой текст свёрнут, показать
     
     
  • 7.104, Аноним (7), 13:51, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты ещё скажи митм никому не интересен, а последние 10 лет нам всем приснились. Все технологии давно отработаны.
     
     
  • 8.135, Ivan_83 (ok), 14:46, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так покажите где на MiTM кто то поднялся, я видел всё от госов, а у них для этог... текст свёрнут, показать
     
  • 7.117, Ананий (?), 14:32, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    пойсон атаки подразумевают некого внешнего злыдня, а если злыдень - это провайде... большой текст свёрнут, показать
     
     
  • 8.137, Ivan_83 (ok), 14:49, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я зато занимался исплементацией DNS протокола и собственного рекурсера с кешем ... текст свёрнут, показать
     
     
  • 9.245, Sem (??), 18:48, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И какие защиты от спуффинга вы в вашем рекурсере применяли Расскажите, раз вы т... текст свёрнут, показать
     
  • 2.188, fuggy (ok), 18:53, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как хорошо что есть личный локальный ресолвер.
    Причём тут DoH. Зависит от оператора кто настроил валидацию dnssec, четыре восьмёрки, например включена валидация.
     
     
  • 3.192, Аноним (7), 19:06, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Четыре восьмёрки первыми начали подменять трафик в своё время, осадочек остался. Ну и, главная проблема, они регулярно отваливаются. То домены третьего уровня отвалятся, то просто лежат.
     
     
  • 4.205, Аноним (255), 19:39, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да-да, и проблема сто процентов в Гугле, а не в твоём провайдере, который 8.8.8.8 прямо у себя на роутере завернул себе на 192.168.0.2, ага.

    Комменты на опеннет даже смешнее «Смехопанорамы».

     
     
  • 5.206, Аноним (7), 19:50, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О чём и речь. А что смешного тебе? Думаешь, в твоей стране такого не случится? Могу тебя расстроить, большинство стран начали оперативно перенимать опыт. Практически сразу.
     
     
  • 6.216, Аноним (255), 21:23, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В моей стране принято соблюдать законы, регулятор не имеет доступа к инфраструктуре, а ISP без судебного постановления пальцем не пошевелит. Да и с постановлением не факт — успешно оспаривали и будут дальше оспаривать любую тупую полицейскую херню. Для того лоеры на зарплате и нужны.
     
     
  • 7.227, Аноним (7), 00:47, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже если так, времени жить в мире розовых пони у тебя буквально до следующей локальной движухи. Наслаждайся пока, но готовься к сюрпризам.
     
     
  • 8.236, Ivan_83 (ok), 06:54, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так то есть маленькие страны, где ты даже если инет отключишь то мобила просто ч... текст свёрнут, показать
     
  • 8.254, Аноним (255), 20:04, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Понимаю, что для мордорцев это мир розовых пони Только вот я в этом мире розовы... текст свёрнут, показать
     
     
  • 9.258, Аноним (7), 20:31, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Времена меняются, да То, что законодательства да и сфера айти в целом отдельн... текст свёрнут, показать
     
     
  • 10.259, Аноним (255), 21:28, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Компания существует с 1964 года, оказывает телекоммуникационные услуги с 1995, к... текст свёрнут, показать
     
     
  • 11.260, Аноним (7), 21:40, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты всё правильно понял, крупнейший провайдер это карманный провайдер, других вар... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (24)

  • 1.8, Аноним (8), 11:42, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто вообще управляет DNS'ами?
     
     
  • 2.10, Аноним (2), 11:44, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    РОСНИИРОС/КИАЭ
     
     
  • 3.246, Sem (??), 18:50, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это прям ну ооочень устаревшая информация.
     
  • 2.25, OpenEcho (?), 11:57, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто вообще управляет DNS'ами?

    whois ru

     
  • 2.119, Аноним (114), 14:36, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ЦМУ ССОП же, что за вопросы
     

  • 1.11, Аноним (11), 11:47, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Еще один повод перейти на зону .Onion.
     
     
  • 2.18, Аноним (4), 11:52, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Там домены слишком сложные, еще вопрос что будет проще запомнить домен .onion или ipv6 адрес сайта.
     
     
  • 3.22, Аноним (28), 11:55, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты же на сайты, которые посещаешь, не вручную домены набираешь, а по закладкам, автодополнению, строке поиска заходишь?
     
     
  • 4.30, Аноним (4), 12:01, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    50 на 50, если домен знаю наизусть то могу себе позволить нажать ctrl+T и начать его писать (скажем первые 4-6 символов), далее Enter.. но это не типичное поведение для большинства пользователей, да.

    типично: закладки, для "любимых" сайтов и ввод названия, части домена в поиск для не столь любимых

     
     
  • 5.32, 12yoexpert (ok), 12:06, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а я чёт закладками никогда не пользовался, в ff по ним абсолютно неюзабельный поиск
     
     
  • 6.83, Аноним (83), 13:20, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    * в начале строки и ищет по букмаркам. Еще есть неплохая фишка с keywords, можно сделать шорткаты для самых нужных.
     
     
  • 7.90, 12yoexpert (ok), 13:31, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    прикольно, спс. я в панельке по ctrl+b пытался искать
     
  • 4.38, rvs2016 (ok), 12:16, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты же на сайты, которые посещаешь,
    > не вручную домены набираешь,
    > а по закладкам, автодополнению,
    > строке поиска заходишь?

    Вручную. По закладкам ходить долго и неудобно. Их, конечно, для удобства могут выводить из меню на всякие более видные и более доступные места. Но это всё-равно не хорошо - мало ли что может оказаться в закладке. Да и для всех сайтов не хватит на экране места для закладок. А если закладки вызывать изнутри меню, то это уже дольше, чем их адреса набрать руками. :-)

     
     
  • 5.44, Аноним (44), 12:32, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Смысл закладок в том, что в поиске в адресной строке они вылезают даже при очищенной истории.
     
     
  • 6.183, Аноним (255), 18:22, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.224, rvs2016 (ok), 22:55, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.207, fuggy (ok), 19:55, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Закладки ещё нужно чтобы вместо легального сайта не переходить на какой-нибудь "0n1ine.sЬerЬank".
     
  • 3.70, нах. (?), 13:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Там домены слишком сложные, еще вопрос что будет проще запомнить домен .onion
    > или ipv6 адрес сайта.

    главное даже не запомнить а найти в принципе - и быть хоть как-то уверенным что сайт не фейковый.

     
  • 3.169, Аноним (2), 16:47, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там был какой-то преобразователь aw34awfsdfa3rsdfasdf23r3q4rwedzfdsr3rqwefd.onion в opennet.tor
     
  • 2.26, 12yoexpert (ok), 11:57, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gemini ещё есть. Ещё в i2p неплохая идея, но нет клиентов (один на джаве, второй российский государственный на плюсах)
     
     
  • 3.34, Аноним (34), 12:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Gemini не работают без доменных имён, а следовательно и какого-нибудь DNS, что очень печально.
     
     
  • 4.68, 12yoexpert (ok), 13:02, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gns от gnu
     
  • 2.167, Аноним (-), 16:32, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (17)

  • 1.12, Аноним (28), 11:47, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А зачем вообще менять ключ на аналогичный но параметрам, а не, например, постквантовый? Старый что скомпрометирован?
     
     
  • 2.16, Аноним (9), 11:50, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Время жизни ключа ограничена, поэтому регулярно выполняют ротацию ключей.
     
     
  • 3.21, Аноним (7), 11:54, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он спросил зачем, а не почему. Ключи меняются на случай утечки, так менее реальная причина (тем не менее законная) на случай взлома за обозримое время.
     
     
  • 4.31, Аноним (9), 12:05, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Раз в три месяца планово заменяются ключи, типа защита на случай если ключ скомпрометирован.
    Для "." ключи вообще раз в 15 дней меняют.
     
     
  • 5.65, нах. (?), 12:58, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Раз в три месяца планово заменяются ключи, типа защита на случай если
    > ключ скомпрометирован.
    > Для "." ключи вообще раз в 15 дней меняют.

    мысль о том что система автозамены ключей и есть наиболее вероятная точка компроментации - зуммеркам в голову не приходила, там все смузей занято.


     
     
  • 6.130, Аноним (130), 14:44, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >мысль о том что система автозамены ключей и есть наиболее вероятная точка
    >компроментации - зуммеркам в голову не приходила, там все смузей занято.

    Случаи подмены ключей палятся очень быстро через сверку ключей полученных их разных концов мира. Если конечно не подделывать ключ для кого-то одного человека не страдающего паранойей. Но кому они нужны? А потом уже будет быстро произведён разбор полётов, каким образом был подменён ключ. Главное, что все подобные системы защищают это от массовой, долговременной подмены интернета какой-то дичью.

     
     
  • 7.133, нах. (?), 14:45, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>мысль о том что система автозамены ключей и есть наиболее вероятная точка
    >>компроментации - зуммеркам в голову не приходила, там все смузей занято.
    > Случаи подмены ключей палятся очень быстро через сверку ключей полученных их разных

    так они будут - одинаковые. Никакой другой подмены в принципе быть не может.

    Уровень понимания технологии что экспертами опеннета что теми кто принес нам это ненужное счастье - он вот примерно такой, ага.

     
     
  • 8.139, Аноним (130), 14:50, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не будут Допустим утёк ключ зоны и новый владелец рассылает информацию, что... текст свёрнут, показать
     
     
  • 9.143, нах. (?), 14:56, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и Ключ у тебя - уже утек Все ключи правильно подписаны и переподписаны ничем ... текст свёрнут, показать
     
     
  • 10.147, Аноним (130), 15:02, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот помимо липового ключа нужно иметь доступ к каждому корневому серверу ... текст свёрнут, показать
     
  • 8.247, Sem (??), 18:55, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если ключи одинаковые, то где подмена Я вам ключ подменил на тот же самый ... текст свёрнут, показать
     
  • 7.157, Ivan_83 (ok), 15:13, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    DNSSec ни от чего, тем более массового не защищает, не нужно сочинять.
     
     
  • 8.176, Аноним (130), 17:59, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    DNSSEC защищает от подделки DNS-записей Конечно от полноценного MITM он не спас... текст свёрнут, показать
     
     
  • 9.194, Ivan_83 (ok), 19:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы для начала в реальной жизни попробуйте отравить кеш резолвера, потом будете р... текст свёрнут, показать
     
  • 5.231, Sw00p aka Jerom (?), 03:22, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Для "." ключи вообще раз в 15 дней меняют.

    https://www.iana.org/dnssec/ceremonies

     

     ....большая нить свёрнута, показать (14)

  • 1.48, Аноним (48), 12:33, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Небось ключи в зип архиве случайные люди шлют по электронке, а потом какой-нибудь младший техник (студент 2 курса менеджмент) вручную их устанавливает. Через убогую веб-панельку, написанную формошлепами 15 лет назад, где ни черта не видно и не понятно.
    А должен всё это делать аккуратно написанный и протестированный код. И зону составлять, и обновлять, и сверять реальное положение дел с ожидаемым. Процедура отката на предыдущую конфигурацию должна занимать миллисекунды.
     
     
  • 2.53, нах. (?), 12:47, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    я тебя расстрою, наверное, но процедуры отката в dns - нет. Вообще. И любая ошибка там - надоооолго.

    И вот с такими руками - да, приходят писатели "аккуратно написанного и протестированного" но не на то что на самом деле над тестировать, поскольку про технологию они не в курсе, понадергав копипасты из чатгопоты или стековерфлова не дочитав до ответа.
    И не поспоришь, протестировано - вон, юнит тесты все прошли.

     
     
  • 3.172, Аноним (48), 17:09, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На подконтрольной инфраструктуре откат должен происходить мгновенно Некорректна... большой текст свёрнут, показать
     
     
  • 4.173, 1 (??), 17:48, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > разослав крупным операторам оповещение по электронке

    А оно дойдёт по электронке-то ? Она давно завязана на DNS. Или у вас uucp ?

     
     
  • 5.186, нах. (?), 18:40, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> разослав крупным операторам оповещение по электронке
    > А оно дойдёт по электронке-то ? Она давно завязана на DNS. Или
    > у вас uucp ?

    дойдет, у нормальных-то домены в .net, только вот - noc@ какого-нибудь tele2 (ни разу не в Москве и хрен ты ему сделаешь) только хихикнет и удалит нафиг твою писульку.

    Я же говорю - это д-лы с образованием семь классов и еще три - кадетской школы. В принципе, не удивлюсь если такие в росниирос и его отвалившихся клонах и работают.

    Думающие что по их писульке все побегут исполнять, а не удивленно спросят - "что это за хрен с горы тут командует? Обос...лись эти узкие в своем днс? Ну так это их проблемы."


     
  • 4.185, нах. (?), 18:37, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.228, Аноним (48), 01:00, 01/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.238, n00by (ok), 09:07, 01/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.182, Аноним (255), 18:20, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тебе на твоей впс и правда не нужна никакая атоматизация, быстрее руками DNSSEC отключить, чем разбираться зачем он нужен и как им пользоваться.
     
  • 2.120, nox. (?), 14:36, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Небось ключи в зип архиве

    Хорошо Вы о них думаете. В rar архиве.

     

  • 1.56, чатжпт (?), 12:52, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос не совсем в тему. В связи с блоком wg/openvpn кто-нибудь проверял, по ipv6 тоже блочат или еще нет?
     
  • 1.60, Этофиаско (?), 12:55, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC

    Но виновных как всегда нет и наказывать никого не будут? :)

     
     
  • 2.101, Секретный (?), 13:49, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, было бы неплохо возродить публичные порки на Красной Площади
     
     
  • 3.162, Аноним (162), 15:41, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А почему вы решили, что за это не накажут вас?
     

  • 1.62, Аноним (-), 12:55, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может ли это быть связано с массовыми просьбами заблокировать Ютуб?
    (Неужели чебурнет все ближе?)
    Или просто так совпало и можно не беспокоиться?
     
     
  • 2.67, Ivan_83 (ok), 13:00, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А заблочили рутуб?
    Даже для больных это перебор :)
     
  • 2.110, Ананий (?), 14:16, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Может ли это быть связано с массовыми просьбами заблокировать Ютуб?
    > (Неужели чебурнет все ближе?)
    > Или просто так совпало и можно не беспокоиться?

    Логику по тиктоку не преподают, но можно прояснить - как связанны проблемы с зоной .ru и твой воображаемый чебурнет, о котором зумерки толдычат лет десять? Делаем зону ру недоступной, чтобы что? Чтобы пропиарить рутуб? Как это работает в воспаленном мозгу мамкиных революцинеров? Не могу распарсить.

     
     
  • 3.111, Макдональдс (?), 14:20, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > воображаемый чебурнет
    > воображаемый

    Такой воображаемый, что половина сайтов без VPN уже давно не открывается. ;)

    Да и работающий VPN попробуй найди. Мобильный инет через день глушат. Но да, повторяй дальше свои мантры, незумерок.

     
  • 2.197, Тот_Самый_Анонимус_ (?), 19:14, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >(Неужели чебурнет все ближе?)

    Тут, скорее, тестировалось отключение зоны .ру от макдакнета.

     

  • 1.72, Neon (??), 13:05, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вообще не заметил никаких сбоев. Узнал о них лишь из новостей.
     
     
  • 2.79, Ivan_83 (ok), 13:11, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вам повезло, ваш DNS сервер выполняющий рекурсию был с отключённым DNSsec.
     
     
  • 3.175, 1 (??), 17:52, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня все такие.
     
  • 2.121, nox. (?), 14:37, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично.
     
  • 2.221, Аноним (221), 22:26, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я вечером тоже сидел с выключеным инетом..
    Вообще не заметил работает ли он
     
  • 2.270, Kuromi (ok), 03:35, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле сбои были, но куда менее сильные чем писал народ. Ну да, кое что упало, вырубившийся Я.Такси когда тебе "ннада" это и правда неприятно, но в целом ничего такого страшного.
     

  • 1.81, Всем Анонимам Аноним (?), 13:20, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не знал, что в москве есть технический центр всего интернета

    contact:      technical
    name:         Technical Center of Internet
    organisation: Technical Center of Internet
    address:      8 Marta street 1, bld 12
    address:      Moscow 127083
    address:      Russian Federation (the)
    phone:        +7 495 730 29 69
    fax-no:       +7 495 730 29 68
    e-mail:       ru-tech@tcinet.ru

     
     
  • 2.210, fuggy (ok), 20:11, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если бы всего интернета он бы назывался Technical Center of the Internet само собой.
     

  • 1.82, Ivan_83 (ok), 13:20, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А я вчера ловил лулзы с беспомощных ИТ специалистов как на хубре так и у провайдеров.

    На хубре калеки всё что смогли придумать - прописать ещё раз 8.8.8.8, который тоже использует DNSSec и точно так же не работал.
    Через час до некоторых стало доходить но прочитать man unbound они не смогли, потому вместо module-config: "iterator" удаляли опцию с путём до публичных ключей корневых днс серверов.

    У провайдеров народ тоже не вдуплял что проблема в DNSSec и что это ваще такое. Но это видимо касалось тех кто на форуме отписался, у адекватных видимо DNSSec изначально был отключён и о проблемах рунета они узнали от других пострадавших сильно после.
    В итоге пострадавшие разделились на группы:
    - те кто выключил сам DNSSec и излечился
    - те кто боялись что то трогать, типа мы нипонимать, не хотим больше сломать
    - те у кого своего DNS сервера нет, они бомжи паразитирующие на других
    - те кому нсдпи или как его там запихали по самые гланды и сами они шевелится боятся, ибо как бы чего не вышло, вдруг кто то запрещёнку увидит

     
     
  • 2.89, _oleg_ (ok), 13:30, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну ты нашёл где помощи искать - на околотехническом хабре. Там только поливать говном всё отечественное могут, вроде.
     
     
  • 3.102, Ivan_83 (ok), 13:49, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мне помощь не нужна, у меня на unbound домашнем DNSSec всегда выключен и проблема меня не задела.
     
     
  • 4.248, Sem (??), 18:58, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем вам вообще интернет? Идите в пещеру.
     
  • 3.105, Аноним (-), 13:56, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на околотехническом хабре

    И вполне логично, что они не сильно разобрались)

    Ха, ты так пишешь, как-будто куча отечественного софта используется для dns.
    Прям наша страна - центр разработки.

     
     
  • 4.108, _oleg_ (ok), 14:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ха, ты так пишешь, как-будто куча отечественного софта используется для dns.
    > Прям наша страна - центр разработки.

    При чём тут именно dns? Там разве не всё обсирают, что не сделано иммигрантами на западе?

     
     
  • 5.239, Аноним (2), 12:15, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что, не за дело обсирают?

    Последнее, что было сделано так, что не стыдно показать -- это Heroes of Might and Magic V. В 2006 году.

    А, ну Касперский, конечно. Ещё раньше сделан, в 90е.

     
     
  • 6.240, _oleg_ (ok), 12:22, 01/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.181, arthi747 (ok), 18:19, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.214, penetrator (?), 21:06, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.100, timur.davletshin (ok), 13:47, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Достаточно было в логи залезть, чтобы понять, что косяк в DNSSEC. И да, я юзаю DNSSEC.
     
     
  • 3.249, Sem (??), 19:00, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Даже не нужно в логи лезть. Пару dig, что бы понять, что это глобально сломалось и всё.
     
  • 2.123, nox. (?), 14:38, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На хубре калеки всё

    Не смешно. Там вообще хоть одна буква ценной информации бывает?

     
  • 2.211, fuggy (ok), 20:15, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В официальной инструкции есть способ отключения dnssec как удаление пути до файла. Хотя отключить модуль было бы логичнее.
     

  • 1.87, _oleg_ (ok), 13:28, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мы у себя проблему в 19:17 увидели, а в 19:40 уже вырубили нахер dnssec.
     
     
  • 2.98, timur.davletshin (ok), 13:46, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Аха, вот такие, когда видят ошибку сертификата, тоже клацают "Игнорировать".
     
     
  • 3.103, Ivan_83 (ok), 13:51, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я клацаю игнорить, потому что на 99% сайтах которые я посещаю TLS не нужен, я там даже не авторизуюсь, потому мне абсолютно всё равно хакнули их или нет.
    И большая часть ошибок это про истёкший сертификат.
     
     
  • 4.127, timur.davletshin (ok), 14:43, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А потом, в тот момент, когда не нужно что-то делать, ты задним числом понимаешь, что зря это УЖЕ сделал на автомате. Что тебя остановит от клацания на автомате "Ignore"?
     
     
  • 5.142, Ivan_83 (ok), 14:54, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не нужно проецировать свои проблемы на других.
    Я смотрю на сертификат только для тех сайтов где я авторизован и где эта авторизация чего то стоит.
    Вот тут она ничего не стоит. А на сайтах банков стоит.
    У гугла и некоторых других сертификаты припинены, и всякие мерзские HPTS автопиниги, так что там даже кнопки игнорирования нет.
     
     
  • 6.200, timur.davletshin (ok), 19:22, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не нужно проецировать свои проблемы на других.

    Видал я таких умных, которые отправляли на автомате несколько миллионов в утиль, а потом оправдывались, что просто привыкли клацать. Нет у тебя такой защиты от дурака, ибо дураки все и я в том числе. Не надо вырабатывать у себя вредных привычек просто.

     
     
  • 7.250, Sem (??), 19:02, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ему DNSSEC не нужен, TLS не нужен. Зачем он вообще сюда зашел, не ясно.
     
  • 5.145, Самый умный из вас (?), 14:59, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю чем надо заниматься, чтобы часто видеть эти ошибки. Мне может раз в месяц показывается
     
  • 3.106, _oleg_ (ok), 14:02, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Аха, вот такие, когда видят ошибку сертификата, тоже клацают "Игнорировать".

    Какие такие, чудо? Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?

     
     
  • 4.109, Аноним (7), 14:13, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Увы, таких помойных провайдеров полно. А DoH как раз и существует в том числе из-за того, что всегда найдётся подобный человеческий фактор и отключит dnssec.
     
     
  • 5.113, _oleg_ (ok), 14:21, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Увы, таких помойных провайдеров полно. А DoH как раз и существует в
    > том числе из-за того, что всегда найдётся подобный человеческий фактор и
    > отключит dnssec.

    А doh тебе зачем, болезный?

     
     
  • 6.115, Аноним (7), 14:27, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для исключения человеческого фактора у провайдера, говорю же. По факту лишняя работа, конечно, если бы нанимали только профессиональные кадры, этого бы не понадобилось. А так доверия из-за подобных инвалидов сегодня никакого.
     
     
  • 7.118, _oleg_ (ok), 14:34, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для исключения человеческого фактора у провайдера, говорю же. По факту лишняя работа,
    > конечно, если бы нанимали только профессиональные кадры, этого бы не понадобилось.
    > А так доверия из-за подобных инвалидов сегодня никакого.

    Блин, как тяжело с такими... Ты на вопрос не ответил. Перечитай, не в падлу.

     
     
  • 8.126, Аноним (7), 14:42, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что тебе перечитать, если ты не осознаёшь, что защищать от провайдера до клиен... текст свёрнут, показать
     
     
  • 9.140, _oleg_ (ok), 14:52, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты с больной на здоровую голову не перекладывай Что ты собрался защищать и поче... текст свёрнут, показать
     
  • 7.149, Ivan_83 (ok), 15:03, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не понял, DoT/DoH так же держат DNSSec включённым и точно так же вчера всех слали в /dev/null.
    А провайдеры делают по тех регламентам и в пределах закона.
     
     
  • 8.232, Аноним (232), 03:52, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Квадовский 9 9 9 10 без dnssec ... текст свёрнут, показать
     
     
  • 9.271, Sw00p aka Jerom (?), 03:49, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Unsecured No Malware blocking, no DNSSEC validation for experts only ... текст свёрнут, показать
     
  • 9.272, Sw00p aka Jerom (?), 03:51, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Note We do not recommend mixing the secure and unsecured IP addresses in the sa... текст свёрнут, показать
     
  • 7.212, fuggy (ok), 20:33, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть ты просто доверяешь человеческому фактору другого провайдера?
     
     
  • 8.213, Аноним (7), 20:42, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я доверяю тому, что dnssec не будет отключен Особенно, когда в конфиге доверие ... текст свёрнут, показать
     
     
  • 9.217, Ivan_83 (ok), 21:27, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и сидите без доступа к сайтам при каждом чихе ... текст свёрнут, показать
     
     
  • 10.256, Аноним (255), 20:16, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, не при каждом Большинство операторов всё же умеет пользоваться DNSSE... текст свёрнут, показать
     
  • 5.129, timur.davletshin (ok), 14:44, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    DoH не исключает необходимости проверять DNSSEC. Вообще никак.
     
     
  • 6.138, Аноним (7), 14:49, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > DoH не исключает необходимости проверять DNSSEC. Вообще никак.

    DoH действует в обход провайдера с некомпетентными сотрудниками. Естественно, не исключает. Но можно было бы обойтись и без него, не перекладывая заботу проверки на пользователя.

     
  • 6.151, Ivan_83 (ok), 15:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще то исключает, за тебя это делает владелец DoT/DoH сервиса.
     
     
  • 7.166, timur.davletshin (ok), 16:30, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще то исключает, за тебя это делает владелец DoT/DoH сервиса.

    Не придумывай. Нигде об этом в протоколе не говорится. Раз уж DoT упомянул, то тот же stubby специально оговорку об этом делает, и может делать проверку DNSSEC сам, а можно и при помощи dnsmasq.

     
  • 5.146, Ivan_83 (ok), 15:01, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет.
    DoH/DoT это желание гугла/анб залезть в штаны хомякам против их воли, под предлогом бизапаснасти.
    Если раньше хомяк должен был сам прописать 8.8.8.8 чтобы слить всё своё гуглу и обойти примитивный блок на уровне днс провайдера, то теперь DoT/DoH впихнули прямо в браузер и включили по дефолту. С такой штукой никакая телеметрия не нужна, вы сами всё слили.
    DoT/DoH защищает от насильственного перенаправления днс трафика на свой днс провайдером, это такая телеметрия которая против античеловечных режимов, только её зачем то по всему миру включают :)
     
     
  • 6.161, Аноним (7), 15:35, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    DoH вполне может быть и подконтрольным. К примеру, тот же dnscrypt гарантирует, что айпи и сайт настоящие, а в трафик злоумышленники не могут вмешаться. Проверки в браузере могут быть перенаправлены на него, это штатная функциональность.
     
     
  • 7.163, Ivan_83 (ok), 16:06, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чушь.
    dnscrypt как и DoT/DoH гарантируют ровно тоже что и TLS: в ваш днс трафик никто не залез и не подсмотрел.

    То что сайт настоящий - ну это ваще смешно, тут мало что поможет, кроме пининга самоподписных сертификатов и это при условии что сервер не взломают и не угонят TLS ключ или не заставят его проксировать откуда то.

     
     
  • 8.177, Аноним (7), 18:01, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всё же, это уже не те случаи, которые стоит рассматривать Но на уровне днс впол... текст свёрнут, показать
     
     
  • 9.196, Ivan_83 (ok), 19:13, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я вам по секрету скажу - рекурсер с кешем можно дома даже держать У меня оно ... текст свёрнут, показать
     
  • 4.134, timur.davletshin (ok), 14:46, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?

    С терминологией разберись сперва.

    > Какие такие, чудо?

    Вот такие, которые даже терминологии не освоили, но уже лезут отключать то, смысл чего ещё не поняли.

     
     
  • 5.141, _oleg_ (ok), 14:53, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?
    > С терминологией разберись сперва.

    А что тебя смущает?

    > Вот такие, которые даже терминологии не освоили, но уже лезут отключать то,
    > смысл чего ещё не поняли.

    Какие такие?

     
  • 4.144, Ivan_83 (ok), 14:57, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Клиентам DNSSec не нужен, да и провайдерский сервер его может разве что ретранслировать, нагружая ничего не стоящую полосу бесполезным трафиком.

    А вот говорить про апстримоский DNS - моветон.
    Технически у провайдера должен стоят свой рекурсер с кешем, а не побирайка от апстримов или всяких 8.8.8.8.
    И вот в этом месте некоторые считают что DNSSec нужен. Но я с этим не согласен, ибо как показывает практика проблем от его включения больше и они эпичнее :)

     
     
  • 5.150, _oleg_ (ok), 15:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Технически у провайдера должен стоят свой рекурсер с кешем, а не побирайка
    > от апстримов или всяких 8.8.8.8.

    Так и делают. Давно уже не помню, что бы магистралы dns давали, но и когда давали их не брали. Нет смысла. Лишняя точка отказа.

    > И вот в этом месте некоторые считают что DNSSec нужен.

    Ну вот, я ж и спрашиваю у местных параноиков - зачем? Какую-то мантру бездумно повторяют заученную и ничего вменяемого не пишут...

     
     
  • 6.152, Ivan_83 (ok), 15:06, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен, в книжке прочитали и поверили :)
     
     
  • 7.155, _oleg_ (ok), 15:11, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен,
    > в книжке прочитали и поверили :)

    Давно там не был :-). Но на наге так-то школьников разы меньше, чем здесь. Так что странно, конечно.

     
  • 7.180, Аноним (255), 18:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Перечислишь админов и провайдеров по именам или ты это «чисто по ощущениям» знаешь?
     
     
  • 8.198, Ivan_83 (ok), 19:14, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сам у них спрашивайте https forum nag ru index php topic 129992-xyz-upal pag... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (39)

  • 1.132, Аноним (132), 14:44, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А кто же это сделал?
     
     
  • 2.168, Sw00p aka Jerom (?), 16:35, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ессественно новенький админ, которого не курсанули, что при смене ключей необходимо заранее сообщить тов. майору :)
     
     
  • 3.251, Sem (??), 19:04, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы новенький админ, то не выпускали бы отчет со смыслом "это не мы такие, это DNSSEC такой. И вообще, переходите все на НСДИ.".
     
     
  • 4.252, Sem (??), 19:06, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://cctld.ru/media/news/kc/35566/
     
     
  • 5.261, Sw00p aka Jerom (?), 22:13, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Возникшая коллизия ключей, в причинах которой в настоящее время продолжают р... большой текст свёрнут, показать
     
     
  • 6.273, n00by (ok), 07:56, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Коллизия - это, например, когда хеши от разных данных совпали. Тут требуется квалифицированный конспиролог, способный объяснить, почему поля Галуа весьма далеки от Эйфелевой башни.
     
     
  • 7.274, Sw00p aka Jerom (?), 09:23, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    - Почему у тебя нос сломан?
    - Потому-что он столкнулся (коллизия) с чужим кулаком

    Счастливое число Слэвина (ц)

     
  • 7.275, Sw00p aka Jerom (?), 09:48, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Допускаем, сгенерировали 1024 битный ZSK ключ rsa, его хеш sha256 (ибо algo_id=8) как вы говорите столкнулся c хешем какого ключа? Со старым ключем ZSK? Ну и что?
     
     
  • 8.277, n00by (ok), 13:00, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут задача из разряда кто даст правильный ответ - тот получит 10 лет ... текст свёрнут, показать
     
     
  • 9.278, Sw00p aka Jerom (?), 16:00, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ага, кто купит билетов пачку XD Обратим внимание на данное утверждение ... большой текст свёрнут, показать
     
     
  • 10.281, Sw00p aka Jerom (?), 14:43, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    для истории Из письма ТЦИ следует, что сбой длился 30 января с 18 28 до 21 0... текст свёрнут, показать
     
  • 2.171, Sw00p aka Jerom (?), 16:59, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А кто же это сделал?

    и прикол в том, что они на протяжении нескольких часов не вкуривали почему сигнатуры битые :) и тут вовсе не в кеше резолверов дело (зона богусной была и в кеш не сохранялась). Второй ключ был добавлен по рфц - заранее, а потом после определенного периода необходимо было просто переподписать записи новым ключем. Вот и переподписали, как и всегда переподписывали, но что-то пошло не так :)

     
     
  • 3.193, нах. (?), 19:08, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я подозреваю в их офисе резко отвалился интернет, 4ge тоже пошло по п-де (кто не в курсе там без dns даже симку не зарегистрировать) и стало ну ооочень сложно что-либо траблшутить.

    А националпредатели типа тебя, у которых вся внутренняя, внешняя и домашняя инфра не на gtld ru и которые наоборот не сразу даже заметили что что-то не так - в таком месте не работают.

     
     
  • 4.220, Sw00p aka Jerom (?), 22:25, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А националпредатели типа тебя

    лол, кек у меня opennet.ru не открывался, вот и заметил :) а байки про то, что не тем ключем подписали или ПО днссека какое-то не такое, будете внукам рассказывать.

     

  • 1.160, Аноним (160), 15:24, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Или их хакнули или они в очередной раз попробовали пропихнуть свои интернет по паспорту. И то и то не сработало. И то и то плохо. Может быть отключение защиты DNS на стороне провайдеров - это как раз то, чего они ждали? Может не стоит? Может пора переходить на CloudFlare?
     
  • 1.164, Аноним (164), 16:12, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще Воланд говорил Канту за завтраком про DNSSEC: «Вы, профессор, воля ваша, что-то нескладное придумали! Оно, может, и умно, но больно непонятно.»
     
  • 1.178, Аноним (255), 18:06, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    В очередной раз убедились, что DNSSEC отлично работает. И в том, что людей понимающих как он работает и как им пользоваться крайне мало. Последнее так же хорошо видно по переписи отключающих DNSSEC. Неуловимо напоминает рассказы «бывалых» про ненужность ремней безопасности.
     
     
  • 2.201, Ivan_83 (ok), 19:24, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем нужен ремень безопасности когда ты находишься в жидкой среде близкой по плотности к твоему телу и всё вместе это находится в поле поглощающем инерцию?!

    Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда везде TLS.
    И не могут показать ни одной успешной атаки в реальном мире по отравлению кеша.
    Но DNSSec дОлжон быть включён, ведь в книжке же написано!

    А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что то там поменяют с DNSSec для этой зоны.

     
     
  • 3.204, Аноним (255), 19:32, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда везде TLS.

    «Фонаты» действительно много чего не могут. Попробуй спросить знающих людей.

    > И не могут показать ни одной успешной атаки в реальном мире по отравлению кеша.

    Вчера вкатился в айти по трёхмесячным курсам? Атаки по отравлению кэша перестали хорошо работать в какой-то момент, и причина тому отчасти DNSSEC.

    > А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что то там поменяют с DNSSec для этой зоны.

    Вижу, что как работает DNS и DNSSEC в частности ты просто не знаешь.

     
     
  • 4.209, Ivan_83 (ok), 20:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуй спросить знающих людей.

    Те не вас?)


    > Атаки по отравлению кэша перестали хорошо работать в какой-то момент

    Покажите примеры успешных атак, потому что я читал только про лабораторные опыты в контролируемых условиях.
    На практике слать 2^15 пакетов с фейковым ответом и надеятся попасть раньше ответа - такое себе.

     
     
  • 5.218, Аноним (255), 21:29, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Те не вас?)

    Как скажешь.

    > Покажите примеры

    Я тебе покажу, а ты скажешь, что я «фонат» и придумаешь, почему это тоже лабораторный опыт. Не первый месяц тебя наблюдаю, знаю что ожидать. В очередной раз убедился, что доказывать кому-то что-то на опеннете — такое себе.

     
  • 5.226, Sw00p aka Jerom (?), 00:15, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > На практике слать 2^15 пакетов с фейковым ответом и надеятся попасть раньше ответа - такое себе.

    кек, а че это много разве? одновременно досишь неймсервер, который должен прислать ответ, и шлешь 2^n пакетов на сервер рекурсивного резолвер, кеш которого хотим отравить. (ток не забываем врубить спуфинг)

    А вот в случае с подписью днссек отравить кеш не получится. Даже если проспуфить и подсунуть ключ этого неймсервера. Надо проспуфить всю цепочку ключей от корня.

     
     
  • 6.234, Ivan_83 (ok), 06:51, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не много, но 2^16 надо слать на все порты, обычно это 1024-65535.
    Те примерно ближе к 2^30 - 2^31.

    Я там выше уже описал простой механизм противодействия этому: когда на сервере видим кучу ответов для которых не было запросов то помечаем домен как атакуемый и резолвим его по TCP.
    Худьшим вариантом станет возможность переключить на резолвинг через TCP и немного увеличить задержки при первом резолве. Юзеры не заметят.

     
     
  • 7.257, Аноним (255), 20:30, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > когда на сервере видим кучу ответов для которых не было запросов то помечаем домен как атакуемый и резолвим его по TCP.

    Это ты отлично придумал! Теперь можно не только замедлить разрешение имён в атакуемом домене, но ещё и повалить твой рекурсор банальным TCP досом.

    > немного увеличить задержки при первом резолве. Юзеры не заметят.

    Не только заметят, но ещё и начнут жаловаться. Для многих компаний увеличение задержек ответов от рекурсора на 1ms — нештатная ситуация, требующая немедленного вмешательства. Кексперт опеннета как есть.

     
     
  • 8.279, Аноним (279), 05:36, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Примеры таких компаний ... текст свёрнут, показать
     
  • 3.242, Kuromi (ok), 15:40, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Когда "амеры" это сделают, по ТВ просто скажут что надо везде прописать суверенные DNS серверы и все.

    Примерно так получилось с выключением Мастеркарда\Визы - локальный эффект никакой.
    С удалением приложений банков из Гугль Плей в общем эффект вышел почти обратный - сначала sideloading помог, а потом по факту добились запуска локальных альт-магазинов приложений.

     
  • 3.263, Sw00p aka Jerom (?), 22:46, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда
    > везде TLS.

    TLS у вас от вашего браузера до "8.8.8.8". А DNSSEC от "8.8.8.8" до остальных неймсерверов.

    > Но DNSSec дОлжон быть включён, ведь в книжке же написано!

    Да, включен должен быть на рекурсивном резолвере.

    > А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как
    > чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что
    > то там поменяют с DNSSec для этой зоны.

    Делов то, попросят всех добавить "корневые-скрепные" сервера в файлик named.root :)

     

  • 1.179, DragonX256 (ok), 18:06, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А ведь ~47 минут назад подпись всё-таки успешно поменяли...
    https://dnsviz.net/d/ru/ZbpWZg/dnssec/
     
  • 1.241, Kuromi (ok), 15:36, 01/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
     
     
  • 2.262, Sw00p aka Jerom (?), 22:30, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится
    > на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах
    > оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.

    есть такая гипотеза, а как иначе всех со всяких "восьмерок" и "единичек" перевести на "замещенное". Но есть одно НО, "замещенные" с включенными валидаторами днссек так же не работали :)


     
     
  • 3.269, Kuromi (ok), 02:25, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится
    >> на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах
    >> оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
    > есть такая гипотеза, а как иначе всех со всяких "восьмерок" и "единичек"
    > перевести на "замещенное". Но есть одно НО, "замещенные" с включенными валидаторами
    > днссек так же не работали :)

    Ну сорянчик, "боли роста", бывает.

     

  • 1.276, Аноним (276), 11:33, 02/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    роскомпозор пилит суверенный днс с подменой ключей, больше всех попали мобильные у которых сорм по умолчанию.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру