forum.opennet.ru - "Атака MaginotDNS, позволяющая подменить данные в кэше DNS " (46)

"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "	+/–
Сообщение от opennews (??), 14-Авг-23, 23:50
Группа китайских исследователей на конференции Black Hat USA 2023 раскрыла детали атаки MaginotDNS, позволяющей осуществить подстановку некорректных NS-записей в кэш DNS-серверов (отравление кэша), используемых одновременно для перенаправления запросов (forwarder) и рекурсивного определения имён (resolver). Успешное проведение атаки может привести к обращению к неверным DNS-серверам, отдающим ложные сведения о целевом домене, и подмене атакующим целиком DNS-зон, в том числе для доменов верхнего уровня ( .com, .net, .ru и т.п.)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59598
Ответить \| Правка \| Cообщить модератору

Оглавление

А зачем кэшировать forward , Аноним (1), 23:50 , 14-Авг-23, (1) –1

Ну вот есть у тебя рекурсор для инторнета и виндузовый днс для внутренней зоны т, Гашпшпщм (?), 00:18 , 15-Авг-23, (2) +1

А почему это не кэшировать на авторитетах вместо того что-бы кэшировать проход, Аноним (1), 00:29 , 15-Авг-23, (3) –2

На auth обычно и так есть packet cache на ответы, но если есть возможность сокра, Аноним (43), 18:50 , 16-Авг-23, (43)

форвардить запросы gendir example local в google dns и получать корректные отве, Атон (?), 08:01 , 15-Авг-23, (8) +3

В смысле зачем Ты предлагаешь каждый запрос каждого васиного писюка сливать апс, Tron is Whistling (?), 14:40 , 15-Авг-23, (25) +1

А так нормально досить крайнего Может досят и из окрестностей апстрима , Аноним (32), 18:54 , 15-Авг-23, (32)

Крайних много, а апстрим зачастую единственный и неповторимый , Tron is Whistling (?), 20:02 , 15-Авг-23, (35)
Отношение количества рекурсоров к количеству клиентов, нагрузочная способность р, Аноним (43), 01:22 , 16-Авг-23, (40)

Какая же переусложнённая система - DNS , Аноним (9), 08:24 , 15-Авг-23, (9) +3

Как и любая старая и работающая система И да, она ещё не сложная, вот лет через, хрю (?), 11:34 , 15-Авг-23, (11) +3

Что значит не сложная Это же просто key-value хранилище Какие-то кэши, recur, Аноним (13), 12:25 , 15-Авг-23, (13) +3

Потому что система разрабатывалась как распределённая Если ты согласен чтобы Го, Аноним (14), 12:40 , 15-Авг-23, (14) +4

Извините, распределённая система - это namecoin И даже она проще - все узлы одн, Аноним (19), 13:15 , 15-Авг-23, (19) +1
А DNS - это не распределённая система, а федерация Тесно увязанная с положением, Аноним (19), 13:19 , 15-Авг-23, (20)

Закон Конвея, Аноним (19), 13:24 , 15-Авг-23, (21)

В моём случае не работает, мои подходы например сильно оторваны от организационн, Tron is Whistling (?), 15:08 , 15-Авг-23, (27)

Технически распределенная Никто не мешает тебе сделать свой gTLD vasyapupkin , Аноним (28), 16:41 , 15-Авг-23, (28)

Она кроме этого ещё и иерархическая И простая как три рубля Не для смузибоев м, Гашпшпщм (?), 09:03 , 16-Авг-23, (42)

Не просто key-value, а distributed key-value Это уже слегка посложнее ваших ред, Tron is Whistling (?), 14:39 , 15-Авг-23, (24)

Этим, собственно, новость можно было начать и закончить , Аноним (10), 10:20 , 15-Авг-23, (10) +3
Честно - DNS пора переводить на TCP SSL Да, это добавит нагрузки, особенно больш, Tron is Whistling (?), 12:19 , 15-Авг-23, (12) –3

Пора перестать хлебать смузи А новость из разряда вмё пропало, но ничего в итог, Анон133 (?), 12:45 , 15-Авг-23, (15) +3

Да не, плейнтекст это не о смузи И плейнтекст в DNS забодал безотносительно ново, Tron is Whistling (?), 14:37 , 15-Авг-23, (23)

Скрыто модератором, ivan_erohin (?), 18:06 , 15-Авг-23, (29)

Скрыто модератором, Tron is Whistling (?), 20:00 , 15-Авг-23, (33)

Скрыто модератором, ivan_erohin (?), 22:43 , 15-Авг-23, (37)

Вот для trusted downstream forwarders поддержку постоянных соединений сделать се, Tron is Whistling (?), 20:00 , 15-Авг-23, (34)

Ага, чтобы запустить auth-серверы для домена, нужен серт А чтобы валидировать с, Аноним (43), 18:52 , 16-Авг-23, (44)

Внимательнее Смысл не в авторизации зон Просто в предотвращении MITM , Tron is Whistling (?), 23:35 , 17-Авг-23, (55)
Ну и опять же - кто мешает серты валидировать по списку корневиков , Tron is Whistling (?), 23:36 , 17-Авг-23, (56)

Скрыто модератором, Электрон (?), 22:53 , 17-Авг-23, (52)

Скрыто модератором, Tron is Whistling (?), 23:32 , 17-Авг-23, (53)

Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита , Аноним (16), 12:49 , 15-Авг-23, (16) –1

А какой самоубийца BIND снаружи использует , bOOster (ok), 13:10 , 15-Авг-23, (18)

Я использую уже много-много лет как авторитативный сервер для клиентских доменов, Tron is Whistling (?), 14:36 , 15-Авг-23, (22) –1

Любители bind и прочего апача обычно другую субстанцию употребляют, причём сразу, Аноним (43), 01:11 , 16-Авг-23, (38)

За любителей не скажу, но мы - не любители , Tron is Whistling (?), 07:12 , 16-Авг-23, (41)

Не любите bind Я тоже , Аноним (43), 18:54 , 16-Авг-23, (45)

Вы любите отвёртку Вот и мы нет - мы ей профессионально пользуемся , Tron is Whistling (?), 20:17 , 16-Авг-23, (48)

Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой p, Аноним (43), 15:47 , 17-Авг-23, (51) –1

Не, ну я знаю, что обязательно надо прямо с телемагазина, раскрашенное в радугу,, Tron is Whistling (?), 23:34 , 17-Авг-23, (54)
Внутри сети вполне себе рабочий и удобный вариант Интеграция с DHCP и LDAP А н, bOOster (ok), 11:07 , 22-Авг-23, (57)

Ну, моя не прибита auth pdns, rec unbound У кого прибита - те заслужили стери, Аноним (43), 01:16 , 16-Авг-23, (39)

Yadifa тоже НЕ в списке отличившихся , bOOster (ok), 13:10 , 15-Авг-23, (17)
От апстрима на форварде внезапно можно получить нестандартный ответ ВАУ Новость, Tron is Whistling (?), 14:42 , 15-Авг-23, (26)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Авг-23, 23:50 –1 +/–

> для подмены записей для запросов в режиме resolver-а через отравление кэша при манипуляции с запросами и ответами в режиме forwarder-а.
А зачем кэшировать forward?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #25

2. Сообщение от Гашпшпщм (?), 15-Авг-23, 00:18 +1 +/–

Ну вот есть у тебя рекурсор для инторнета и виндузовый днс для внутренней зоны твоего example.com.
Ну и запросы во внутреннюю зону ты форвардишь, а чтобы разгрузить контроллеры домена кэшируешь пакетным кэшом и dns кэшом. А внутренних клиентов могут быть и тысячи. Поэтому это бывает полезно. Например dnsdist с этой задачей справляется прекрасно. Кроме этого на самих клиентах неплохо иметь локального кэша, dnsmasq или unbound, или systemd-resolved. Главное не ошибиться с ттл позитивного и негативного кэша во всей цепочке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #8

3. Сообщение от Аноним (1), 15-Авг-23, 00:29 –2 +/–

А почему это не кэшировать на "авторитетах" вместо того что-бы кэшировать проходящий мусор в котором "ты" не компитентен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #43

8. Сообщение от Атон (?), 15-Авг-23, 08:01 +3 +/–

форвардить запросы gendir.example.local в google.dns и получать корректные ответы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 15-Авг-23, 08:24 +3 +/–

Какая же переусложнённая система - DNS.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

10. Сообщение от Аноним (10), 15-Авг-23, 10:20 +3 +/–

>DNS-серверы Unbound, MaraDNS и PowerDNS атаке не подвержены.
Этим, собственно, новость можно было начать и закончить.

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от хрю (?), 15-Авг-23, 11:34 +3 +/–

Как и любая старая и работающая система. И да, она ещё не сложная, вот лет через 25 будет сложная +).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от Tron is Whistling (?), 15-Авг-23, 12:19 –3 +/–

Честно - DNS пора переводить на TCP/SSL.
Да, это добавит нагрузки, особенно большим, но с легко мудифицируемым плейнтекстом пора завязывать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #29, #44, #52

13. Сообщение от Аноним (13), 15-Авг-23, 12:25 +3 +/–

Что значит "не сложная"? Это же просто key-value хранилище. Какие-то кэши,
recursive, authoritative server, forwarder, resolver, recursive resolver, conditional dns server, bailiwick .... Зачем всё это?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14, #24

14. Сообщение от Аноним (14), 15-Авг-23, 12:40 +4 +/–

Потому что система разрабатывалась как распределённая. Если ты согласен чтобы Гоогле контролировал всё и раздавал все имена с одного Редиса с 15ТБ памяти, тогда всё можно упростить, конечно. Но и тогда рано или поздно все стали бы кеширование велосипедить. Вообще если заново разрабатывать с нуля то будет немного попроще но не настолько.
Я вот всё мечтаю о com.google.web и ru.opennet

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19, #20, #42

15. Сообщение от Анон133 (?), 15-Авг-23, 12:45 +3 +/–

Пора перестать хлебать смузи. А новость из разряда вмё пропало, но ничего в итоге не пропало, а показалось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

16. Сообщение от Аноним (16), 15-Авг-23, 12:49 –1 +/–

Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита. Ну передавите всех нас, Васянов, домовых, кому будет? Все в ЖЭК.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #39

17. Сообщение от bOOster (ok), 15-Авг-23, 13:10 +/–

Yadifa тоже НЕ в списке "отличившихся"..

Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от bOOster (ok), 15-Авг-23, 13:10 +/–

А какой самоубийца BIND снаружи использует?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22

19. Сообщение от Аноним (19), 15-Авг-23, 13:15 +1 +/–

Извините, распределённая система - это namecoin. И даже она проще - все узлы одноранговые.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (19), 15-Авг-23, 13:19 +/–

А DNS - это не распределённая система, а федерация. Тесно увязанная с положением компании в экосистеме и её партнёрскими отношениями с другими компаниями. То есть на самом деле система централизованная, олигополия.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21, #28

21. Сообщение от Аноним (19), 15-Авг-23, 13:24 +/–

Закон Конвея
>Any organization that designs a system (defined broadly) will produce a design whose structure is a copy of the organization's communication structure.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #27

22. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:36 –1 +/–

Я использую уже много-много лет как авторитативный сервер для клиентских доменов.
А в чём проблема-то? Смузи не пью, полёт нормальный.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #38

23. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:37 +/–

Да не, плейнтекст это не о смузи.
И плейнтекст в DNS забодал безотносительно новости - простор для кулхацкеров 10 классов потрясающий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:39 +/–

Не просто key-value, а distributed key-value. Это уже слегка посложнее ваших редисок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

25. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:40 +1 +/–

В смысле зачем. Ты предлагаешь каждый запрос каждого васиного писюка сливать апстриму? Апстрим обидится и зобанед на веки вечные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32

26. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:42 +/–

От апстрима на форварде внезапно можно получить нестандартный ответ?
ВАУ. Новость века.

Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Tron is Whistling (?), 15-Авг-23, 15:08 +/–

В моём случае не работает, мои подходы например сильно оторваны от организационных - да, приходится учить соглашаться на нетиповые варианты, но результат даёт о себе знать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 15-Авг-23, 16:41 +/–

Технически распределенная. Никто не мешает тебе сделать свой gTLD ".vasyapupkin" и корневые неймсервера к нему.
Организационно - да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

29. Сообщение от ivan_erohin (?), 15-Авг-23, 18:06 +/–

не забудьте в новом стандарте сделать minTTL для всех записей = 24 часа (а лучше больше).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #33, #34

32. Сообщение от Аноним (32), 15-Авг-23, 18:54 +/–

А так нормально досить крайнего? Может досят и из окрестностей апстрима.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #35, #40

33. Сообщение от Tron is Whistling (?), 15-Авг-23, 20:00 +/–

Зойчем?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

34. Сообщение от Tron is Whistling (?), 15-Авг-23, 20:00 +/–

Вот для trusted downstream forwarders поддержку постоянных соединений сделать селективно - да, была бы тема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

35. Сообщение от Tron is Whistling (?), 15-Авг-23, 20:02 +/–

Крайних много, а апстрим зачастую единственный и неповторимый.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

37. Сообщение от ivan_erohin (?), 15-Авг-23, 22:43 +/–

чтобы нагадить любителям облаков и cdn, очевидно же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от Аноним (43), 16-Авг-23, 01:11 +/–

Любители bind и прочего апача обычно другую субстанцию употребляют, причём сразу ложкой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #41

39. Сообщение от Аноним (43), 16-Авг-23, 01:16 +/–

> Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита.
Ну, моя не прибита (auth pdns, rec unbound). У кого прибита - те заслужили стерилизацию.
> Ну передавите всех нас, Васянов, домовых, кому будет?
Тише и спокойнее станет в интернете, потому что именно два любимца аникеевых - bind и msdns - в основном используются для ddos-атак dns amplification.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

40. Сообщение от Аноним (43), 16-Авг-23, 01:22 +/–

> А так нормально досить крайнего?
Отношение количества рекурсоров к количеству клиентов, нагрузочная способность рекурсора, средние/пиковые значение трафика от клиента - все это связано очень простым соотношением и, если автор не дурак, учитывается при проектировании инфры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

41. Сообщение от Tron is Whistling (?), 16-Авг-23, 07:12 +/–

За любителей не скажу, но мы - не любители.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #45

42. Сообщение от Гашпшпщм (?), 16-Авг-23, 09:03 +/–

Она кроме этого ещё и иерархическая. И простая как три рубля. Не для смузибоев может быть, но простая.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

43. Сообщение от Аноним (43), 16-Авг-23, 18:50 +/–

На auth обычно и так есть packet cache на ответы, но если есть возможность сократить трафик с 10 Гбит/с до 10 Мбит/с, то почему бы это не сделать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

44. Сообщение от Аноним (43), 16-Авг-23, 18:52 +/–

> Честно - DNS пора переводить на TCP/SSL.
Ага, чтобы запустить auth-серверы для домена, нужен серт. А чтобы валидировать серт по ACME (ну, или issuer-специфичным костылям), нужные работающие auth-серверы. Шах и мат!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #55, #56

45. Сообщение от Аноним (43), 16-Авг-23, 18:54 +/–

Не любите bind?
Я тоже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #48

48. Сообщение от Tron is Whistling (?), 16-Авг-23, 20:17 +/–

Вы любите отвёртку?
Вот и мы нет - мы ей профессионально пользуемся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #51

51. Сообщение от Аноним (43), 17-Авг-23, 15:47 –1 +/–

Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой ph1.
Вроде и то, и то крестовое, но почему-то работает так себе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #54, #57

52. Сообщение от Электрон (?), 17-Авг-23, 22:53 +/–

DNS-over-TLS
DNS-over-HTTPS
DNSCrypt
А теперь сиди и разбирайся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #53

53. Сообщение от Tron is Whistling (?), 17-Авг-23, 23:32 +/–

RFC 7858

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

54. Сообщение от Tron is Whistling (?), 17-Авг-23, 23:34 +/–

Не, ну я знаю, что обязательно надо прямо с телемагазина, раскрашенное в радугу, с рюшечками и смузи в подарок.
Но нет, ребята, нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

55. Сообщение от Tron is Whistling (?), 17-Авг-23, 23:35 +/–

Внимательнее. Смысл не в авторизации зон. Просто в предотвращении MITM.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

56. Сообщение от Tron is Whistling (?), 17-Авг-23, 23:36 +/–

Ну и опять же - кто мешает серты валидировать по списку корневиков?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

57. Сообщение от bOOster (ok), 22-Авг-23, 11:07 +/–

> Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой
> ph1.
> Вроде и то, и то крестовое, но почему-то работает так себе.
Внутри сети вполне себе рабочий и удобный вариант. Интеграция с DHCP и LDAP. А на внешке лично я YADIFA использую.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 14-Авг-23, 23:50	–1 +/–
> для подмены записей для запросов в режиме resolver-а через отравление кэша при манипуляции с запросами и ответами в режиме forwarder-а. А зачем кэшировать forward?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #25

2. Сообщение от Гашпшпщм (?), 15-Авг-23, 00:18	+1 +/–
Ну вот есть у тебя рекурсор для инторнета и виндузовый днс для внутренней зоны твоего example.com. Ну и запросы во внутреннюю зону ты форвардишь, а чтобы разгрузить контроллеры домена кэшируешь пакетным кэшом и dns кэшом. А внутренних клиентов могут быть и тысячи. Поэтому это бывает полезно. Например dnsdist с этой задачей справляется прекрасно. Кроме этого на самих клиентах неплохо иметь локального кэша, dnsmasq или unbound, или systemd-resolved. Главное не ошибиться с ттл позитивного и негативного кэша во всей цепочке.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #3, #8

3. Сообщение от Аноним (1), 15-Авг-23, 00:29	–2 +/–
А почему это не кэшировать на "авторитетах" вместо того что-бы кэшировать проходящий мусор в котором "ты" не компитентен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #43

8. Сообщение от Атон (?), 15-Авг-23, 08:01	+3 +/–
форвардить запросы gendir.example.local в google.dns и получать корректные ответы?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 15-Авг-23, 08:24	+3 +/–
Какая же переусложнённая система - DNS.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11

10. Сообщение от Аноним (10), 15-Авг-23, 10:20	+3 +/–
>DNS-серверы Unbound, MaraDNS и PowerDNS атаке не подвержены. Этим, собственно, новость можно было начать и закончить.
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Сообщение от хрю (?), 15-Авг-23, 11:34	+3 +/–
Как и любая старая и работающая система. И да, она ещё не сложная, вот лет через 25 будет сложная +).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от Tron is Whistling (?), 15-Авг-23, 12:19	–3 +/–
Честно - DNS пора переводить на TCP/SSL. Да, это добавит нагрузки, особенно большим, но с легко мудифицируемым плейнтекстом пора завязывать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15, #29, #44, #52

13. Сообщение от Аноним (13), 15-Авг-23, 12:25	+3 +/–
Что значит "не сложная"? Это же просто key-value хранилище. Какие-то кэши, recursive, authoritative server, forwarder, resolver, recursive resolver, conditional dns server, bailiwick .... Зачем всё это?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #14, #24

14. Сообщение от Аноним (14), 15-Авг-23, 12:40	+4 +/–
Потому что система разрабатывалась как распределённая. Если ты согласен чтобы Гоогле контролировал всё и раздавал все имена с одного Редиса с 15ТБ памяти, тогда всё можно упростить, конечно. Но и тогда рано или поздно все стали бы кеширование велосипедить. Вообще если заново разрабатывать с нуля то будет немного попроще но не настолько. Я вот всё мечтаю о com.google.web и ru.opennet
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #19, #20, #42

15. Сообщение от Анон133 (?), 15-Авг-23, 12:45	+3 +/–
Пора перестать хлебать смузи. А новость из разряда вмё пропало, но ничего в итоге не пропало, а показалось.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #23

16. Сообщение от Аноним (16), 15-Авг-23, 12:49	–1 +/–
Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита. Ну передавите всех нас, Васянов, домовых, кому будет? Все в ЖЭК.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #39

17. Сообщение от bOOster (ok), 15-Авг-23, 13:10	+/–
Yadifa тоже НЕ в списке "отличившихся"..
Ответить \| Правка \| Наверх \| Cообщить модератору

18. Сообщение от bOOster (ok), 15-Авг-23, 13:10	+/–
А какой самоубийца BIND снаружи использует?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #22

19. Сообщение от Аноним (19), 15-Авг-23, 13:15	+1 +/–
Извините, распределённая система - это namecoin. И даже она проще - все узлы одноранговые.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (19), 15-Авг-23, 13:19	+/–
А DNS - это не распределённая система, а федерация. Тесно увязанная с положением компании в экосистеме и её партнёрскими отношениями с другими компаниями. То есть на самом деле система централизованная, олигополия.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #21, #28

21. Сообщение от Аноним (19), 15-Авг-23, 13:24	+/–
Закон Конвея >Any organization that designs a system (defined broadly) will produce a design whose structure is a copy of the organization's communication structure.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #27

22. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:36	–1 +/–
Я использую уже много-много лет как авторитативный сервер для клиентских доменов. А в чём проблема-то? Смузи не пью, полёт нормальный.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #38

23. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:37	+/–
Да не, плейнтекст это не о смузи. И плейнтекст в DNS забодал безотносительно новости - простор для кулхацкеров 10 классов потрясающий.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

24. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:39	+/–
Не просто key-value, а distributed key-value. Это уже слегка посложнее ваших редисок.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

25. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:40	+1 +/–
В смысле зачем. Ты предлагаешь каждый запрос каждого васиного писюка сливать апстриму? Апстрим обидится и зобанед на веки вечные.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #32

26. Сообщение от Tron is Whistling (?), 15-Авг-23, 14:42	+/–
От апстрима на форварде внезапно можно получить нестандартный ответ? ВАУ. Новость века.
Ответить \| Правка \| Наверх \| Cообщить модератору

27. Сообщение от Tron is Whistling (?), 15-Авг-23, 15:08	+/–
В моём случае не работает, мои подходы например сильно оторваны от организационных - да, приходится учить соглашаться на нетиповые варианты, но результат даёт о себе знать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 15-Авг-23, 16:41	+/–
Технически распределенная. Никто не мешает тебе сделать свой gTLD ".vasyapupkin" и корневые неймсервера к нему. Организационно - да.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

29. Сообщение от ivan_erohin (?), 15-Авг-23, 18:06	+/–
не забудьте в новом стандарте сделать minTTL для всех записей = 24 часа (а лучше больше).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #33, #34

32. Сообщение от Аноним (32), 15-Авг-23, 18:54	+/–
А так нормально досить крайнего? Может досят и из окрестностей апстрима.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #35, #40

33. Сообщение от Tron is Whistling (?), 15-Авг-23, 20:00	+/–
Зойчем?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29 Ответы: #37

34. Сообщение от Tron is Whistling (?), 15-Авг-23, 20:00	+/–
Вот для trusted downstream forwarders поддержку постоянных соединений сделать селективно - да, была бы тема.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

35. Сообщение от Tron is Whistling (?), 15-Авг-23, 20:02	+/–
Крайних много, а апстрим зачастую единственный и неповторимый.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32

37. Сообщение от ivan_erohin (?), 15-Авг-23, 22:43	+/–
чтобы нагадить любителям облаков и cdn, очевидно же.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33