Сегодня ряд крупных DNS-сервисов и производителей DNS-серверов проведут совместное мероприятие DNS flag day 2020, призванное сфокусировать внимание на решении проблем с IP-фрагментацией при обработке DNS-сообщений большого размера. Это второе подобное мероприятие, в прошлом году "DNS flag day" был сосредоточен на корректной обработке запросов EDNS...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53816
флаг зыс щитлучше бы запретили провайдерам заворачивать все днс запросы на свои резолверы
Так запретили давно уже. Только конечно же всем пофиг. Следующий вопрос.
Законодательно запретили?
В библии записали, всё равно грешат
Да не возжелай пакета юзера своего на порту пяти десятин третьем.Мак. 53:10
Прикинь, тебе у себя дома запретят указать DNS'ом 192.168.1.1. Будешь исполнять?
Провайдер не мой дом
У вас с провайдером юридический договор, там что написано? Вы же сами разрешили ему подделывать ваш транзитный трафик подписав его.Нужна публичная компания «MITM — не подписываем», займитесь на досуге :-)
это никто не запрещает, запрещают заворачивать днс траффик на гипотетический 8.8.8.8 и резолвить его на своем подставном сервере.
Пруфов, конечно, не будет.
ты какой-то бред пишешь. либо твой провайдер оперирует покруче Кашпировского в паре с Гитлеолм, пригрозив тебе нименуемой и жестокой расправой если вдруг решишь в своей домашней сети поднять собственный кеширующий резолвер. мне видится причина не в провайдерах, а в отсутствии у тебя элементарных представлений о том как работает DNS. разруха не в клозетах, а в головах
>> лучше бы запретили провайдерам заворачивать все днс запросы на свои резолверы
> ты какой-то бред пишешьНу вообще-то, зависит от упоротости провайдера.
Технически проблемы нет завернуть весь DNS-трафик на свои серверы. А на фоне блокировок РКН, это вполне может быть реализовано отдельными особо ретивыми провайдерами.> если вдруг решишь в своей домашней сети поднять собственный кеширующий резолвер
... он будет кешировать фальшивые ответы серверов провайдера, куда тот завернул весь трафик DNS
> причина не в провайдерах, а в отсутствии у тебя элементарных представлений о том как работает DNS
Может Вы нас просветите, что может помешать провайдеру завернуть весь трафик DNS куда ему угодно?
> Технически проблемы нет завернуть весь DNS-трафик на свои серверы. А на фоне блокировок РКН, это вполне может быть реализовано отдельными особо ретивыми провайдерами.РФ — не Британия, тут уже давно DPI у каждого провейдера.
Грубые методы, такие как перехват DNS или бан IP, создают слишком много проблем.> Может Вы нас просветите, что может помешать провайдеру завернуть весь трафик DNS куда ему угодно?
Попытка обработки рекурсивным/кэширующим резолвером запросов без флага RD может привести к непредсказуемым последствиям, поэтому такие запросы перехватывать себе дороже.
А вот запросы с флагом RD перехватывать — вполне нормальная, полезная и ничуть не злонамеренная практика. Потому что нет принципиальной разницы, чей резолвер будет резолвить, зато есть разница, пойдет трафик до гугла или нит.
Перенаправление всего 53/udp на свои сервера и резолвинг там это простейший метод исполнения приказов о цензуре в РФ, обычно его используют мелкие провайдеры, которым проблемно сделать иные решения.Обходится за счет DNSCrypt, DoH и DoT.
> о цензуре в РФВ РФ? Вы ничего не путаете? https://www.opennet.ru/opennews/art.shtml?num=51046
Я ничего не путаю. Я говорю о запрещенной в РФ, но осуществляемой неким РКН цензуре. И именно о ней.
Будешь отрицать ее существование?На Thu, 01 Oct 2020 22:00:04 +0200 в российском цензурном списке сети интернет 375084 строк
И это чисто строк с урлами и доменами, без учета блокированных целиком подсетей.
Не путайте цензуру и демократические ковровые бом^Wблокировки. Вторые никто не запрещал.
И флагманом в этой области является отнюдь не ваша любимая РФ.
> Не путайте цензуру и демократические ковровые бом^Wблокировки. Вторые никто не запрещал.
> И флагманом в этой области является отнюдь не ваша любимая РФ.Цензура запрещена. Но она осуществляется в РФ.
А флагманом является Китай, без вопросов. Тот самый Китай на который вы онанируете. Про остальные же страны вы всегда врете и не можете подтвердить своих слов о цензуре.
Там вам выше на цензуру в мелкобритании показали, но это другое да? Про цензуру в мордоркниге, ютубе ... слыхали? но это другое?
Давай сначала с терминами определимся. «Цензура — ограничения либо недопущения распространения идей и сведений, признаваемых _властями_ нежелательными. Цензурой называют также _органы_ светской или духовной власти»youtube и facebook конечно влиятельные, но можно уточнить в какой именно орган власти они входят?
> Про цензуру в мордоркниге, ютубе ... слыхали?Нет, не слышал. Цензура может осуществляться только государством. Частник у себя на площадке может устанавливать правила поведения и это не будет цензурой. У меня вот дома нельзя гадить на стол и нельзя восхвалять коммунистические и нацистские идеологии. И это не цензура. Это мое право собственности. Не нравится? Иди туда где этих правил нет.
Только государством? Да щазз. Нет в определении цензуры ничего такого.
А мы и не путаем парламентарную монархию с президентско-парламентской республикой, это у вас проблемы вечно, с головой видимо.
У как минимум одного опсоса (которым я когда-то пользовался) при исчерпании дневного лимита трафика все DNS-запросы вдруг начинали возвращать один и тот же IP, если туда тыкался броузер с http-запросом, выдавалась страничка о том, что провайдер хочет денег за дополнительный гигабайт. Остальной трафик просто дропался. Возвращалась именно подставная A-record, проверено.
Впрочем, если вбить нужные IP в /etc/hosts, всё равно трафик на 80 порт перенаправлялся, а остальной дропался.
NB: если пров начинал перехватывать DNS после исчерпания лимит, это еще не значит, что он это делал до.
По факту, с _неоплаченным_ трафиком он может делать все, что хочет. Как минимум — блокировать с ICMP port unreachable или TCP reset. То, что он запарился и проинформировал вас о причине проблем — уже сугубо его добрая воля, никто его так делать не обязывал.
Ну, скажем так, и до исчерпания лимита он влезал в незашифрованный http-трафик - вместо запрошенной страницы прилетала реклама (пример - https://www79.zippyshare.com/v/MLpTplNF/file.html и https://www79.zippyshare.com/v/f9A0o3IR/file.html). Одно время мегавонь оборзела до того, что запрошенная страница отобразалась затенённой, а внизу - предложение согласиться с условиями использования и кнопка "Продолжить", примерно так, как сейчас предлагают согласиться на cookies. Только кнопка эта - не от сайта, а от провайдера. Нажимаешь - полтинник со счёта улетает.
Это во-первых. А во-вторых, когда я подключался, условия были таковы, что после исчерпания дневного пакета трафик не останавливается, а качался с ограничением скорости в 64 kbps. В какой-то момент ихние эффективные менеджеры решили что нефиг лохам, пусть платят за продолжение банкета.
Вообще-то в этом смысл днс, чтобы в каждой подсети был свой днс сервер, а к корневым обращались только крупные провайдеры
Ваш провайдер заворачивает все запросы на свои резолверы?
Меняйте провайдера.
Да, надо как-то решить проблему с фрагментацией. А то web-трафик over DNS медленно ходит :D
Вот из-за таких как ты так и живем, ни толку ни плана по маргинализации быдла. Что за человек такой .
dns flag na shey daydns baraban v ruki day
по-моему у вас очепятка - вместо "создать проблем там где их раньше не было" в новости почему-то написано "решить проблемы".
Просто самой проблемы вы не заметили, хотя она в тексте и описана. Вообще-то это дыра в безопасности, причем размеров потрясающих. Подмена ответов днс через фрагментированные ответы человеком в середине. Дальше думайте сами, человек может быть и в звании майора.
У моего человека в звании лейтенанта НЕТ никакой проблемы перехватить вашу tcp сессию еще до того как SYN доберется до реального адресата.Задача противодействия легко решается другими (штатными) средствами, но мы вам о них - не расскажем.
Действительно, глупость сморозил, этак каждый провайдер творил бы что хотел.
Но виню я себя в другой ошибке.
> каждый провайдер творил бы что хотелТы не поверишь...
> Вообще-то это дыра в безопасности, причем размеров потрясающих. Подмена ответов днс через фрагментированные ответы человеком в середине.Восхитительный пример безграмотности.
Вообще-то, не фрагментированный UDP-ответ подменить легче, чем фрагментированный.
если без звания майора, не менее интересно.
Получается resolver libc должен открыть два соединения?
Одно UDP, другое TCP?
Только если у него запрос не укладывается в килобайт.
Часто вы сталкиваетесь с именами в килобайт длиной?
Длина имени ограничена 256 байтами, запрос в принципе не может быть большим. А вот ответы с кучей записей CNAME и NS, очень даже могут. К тому тут вроде бы речь про DNSSEC, а цифровые подписи огромны!
Резать тяжелые UDP-ответы — вполне нормальная практика, reflection attack не вчера изобрели.Я даже вот так делаю (dnsdist):
addAction(AndRule({MaxQPSIPRule(100, 30), TCPRule(false)}), TCAction())
чтобы для "клиентов" (точнее, подсетей /30), генерирующих больше 100 RPS, форсировать переход на TCP независимо от размера ответа. На TCP рефлексировать не очень получается)
Кстати, у UDP нет соединений (если не вникать в костыли для stateful NAT & firewalling, о которых ни libc resolver, ни отвечающий ему сервер ничего не знают).
> Кстати, у UDP нет соединений (если не вникать в костыли для stateful
> NAT & firewalling, о которых ни libc resolver, ни отвечающий ему
> сервер ничего не знают).Имею ввиду два сокета открывать и в одном делать connect, ожидая вероятного ответа, а другим делать sendto
Нет, connect() делать только после получения по UDP ответа с флагом TC.Чтобы на это напороться, нужно либо запросить QNAME больше 1200 байт, либо получить ответ больше 1200 байт (например, TXT запись). На моих DNS-рекурсорах (обслуживают порядка пятисот машин сотрудников и двухсот серверов) такой случается примерно раз в два часа, при среднем QPS по UDP порядка 150.
> Нет, connect() делать только после получения по UDP ответа с флагом TC.ok. Это другое дело.
Щито? QNAME больше 256 байтов не бывает, в запросе это может быть только если запросов больше одного, но такое совсем не все сервера и резольверы умеют.
>Получается resolver libc должен открыть два соединения? Одно UDP, другое TCP?Я, конечно, не настоящий сварщик, но просветите момент: как клиентский хост должен догадаться, что в ответ на запрос через UDP резолвер ответит по TCP? Для установки TCP соединения вроде хендшейк нужен, или уже нет? Кто инициатор сессии по TCP? Хост, резолвер, с какого порта на какой? Непонятно.
Насколько я помню, на клиентский udp-запрос сервер отвечает ошибкой "используй tcp", после чего клиент должен повторить свой запрос по tcp
Согласитесь, это безобразие, что вместо того чтобы сразу учиться интегрироваться с cloudFlare API на бесплатный (поначалу) план, всякие Васяны (Джоны Смиты) поднимают свой DNS. Настала пора безобразие это решительно искоренить. Для начала, переведём весь протокол на TCP. Превратив (почти) не требовавший ранее внимания сервис в лютый high-load.
</sarcasm>
>> Начиная с сегодняшнего дня участвующие в инициативе провайдеры DNS, включая CloudFlare, Quad 9, Cisco (OpenDNS) и GoogleЧто вы такое говорите!?
Это все организации-альтруисты. Они же о нас заботятся!
ENDS вообще прикольная штука. Желающим убедиться рекомендую выполнить команду
host -t txt whoami-ecs.lua.powerdns.org 8.8.8.8
и внимательно посмотреть на поле netmask в ответе.
Для veteran unix admins и прочих адептов unix way, у которых под рукой только винда: публичные рекурсивные резолверы сдают адрес клиента с точностью до подсети авторитетному серваку.Конечно же, это не для слежки, а чтобы геолокация корректно работала.
Методов слежки им и так хватает.
Это стандартизация рынка "под себя".
>Для veteran unix admins и прочих адептов unix way, у которых под рукой только виндавообще-то под виндой так тоже можно сделать: nslookup -type=txt whoami-ecs.lua.powerdns.org 8.8.8.8
Я не воин юниксвея, а обычная макака-смузихлеб, мне можно не знать тонкостей работы винды.
а вот интересно кто и где ведёт базу привязки айпи к гео координатам? похоже все крупные провайдеры юзают некий пул, куда сливают примерные координаты каждого абонента. тот же гугл с точностью до района знает по айпи, а в некоторых странах (на букву У) даже с точностью до улицы.
MaxMind
наверное должен быть стимул провайдерам делиться. хотя бесплатная версия как-то не блещет. наверное "для своих" там база поинтереснее.
Есть общедоступная база MaxMind, есть ее платная версия с точностью до райнов. Но все они кривые, потому что часто у провайдера головной офис где-нибудь в одном городе и вся сеть туда записана, а адреса выдают и в другие.
Гугл с твоего же разрешения собирает базу на основе данных с твоего смартфона, это отключаемо в настройках. Точность до дома достигается не по IP, а по связке IP+WiFi-сеть в которой сейчас подключен смартфон. Раньше у гугла(и у Яндекса) даже был публичный API который по маку роутера(тому который вещается в наружу) возвращал примерный адрес с точностью до квартала. Правда их очень смешно штормило, если взять роутер и отвезти его за 1500 км, он начинал тебя показывать первое время по старому месту. А если одновременно в двух точках на таком расстоянии начать юзать один мак на вайфае роутера, да сеть одинаково назвать, то штормило постоянно :-DПример определения координат по MaxMind можешь увидеть на каком-нибудь ifconfig.co
"ip": "80.XX.YY.ZZ",
"ip_decimal": ZZZZZZZZ,
"country": "Czechia",
"country_iso": "CZ",
"country_eu": true,
"region_name": "Jihocesky kraj",
"region_code": "31",
"zip_code": "384 03",
"city": "Ktis",
"latitude": 48.9167,
"longitude": 14.1333,
"time_zone": "Europe/Prague"На самом деле ну почти попал, в смысле в Чехию попали, но чуть промахнулись с координатами :-D
Это мой домашний IPшник и промах всего на 200 км :-D
гугль ведет свою..все андроиды сливают IP, координаты и все видимые вокруг вай фай точки папе. после суток, иногда двух, прошедших как новый IP приехал на рутер, если к точке ктото цепляется с вендроида, гугл карты начинают открываться спозиционоированной с квартирой аккуратно в середине экрана даже на устройствах ничего не знающих про геолокацию. Если же вендроидов в сети нет (возможно надо еще чтобы небыло других утройств умеющих определять координаты и гугл браузера, у меня таких вокруг нет, не проверял), то мы довольно долго будем наблюдать дом того абрнента провайдера, кому IP был выдан до нас..а максмайд тормозное гумно, его не пнешь, (а не все провайдеры заморачиваются пинанием), он не обновится. за что они денег берут я так и не понимаю. я по их данным уже пол года как в Одинцово переехал. Яндекс так и предлагает чтото в Одинцово, и только Гугл знает правду, у него одинцово быстро закончилось.. (но яндекс приложений вроде почти нет на телефонах, туда стучать некому)
> гугль ведет свою..все андроиды сливают IP, координаты и все видимые вокруг вай фай точкиНе все, а только те на которых включены сервисы и ты разрешил это делать. Не обманывай людей.
Нет. Это было бы правдой, если бы оно небыло бы включено по умолчанию...
Это будет не так в некоторых версиях андроида, где таки можно выключить всё, и у тех, кто сходил в настройки и выключил ВСЕ (на _всех_ устройствах могущих быть в этой вай фай сети, т.к. достаточно одного стукачка, чтобы IP-координаты спалились).. не во всех оно полностью выключается, их там за это попинывают временами и они чинят.. да и в общем 99.9999% пользователей и не выключают даже то что спрашивается при первом включении, а не еще там и там и вот там....
> Нет. Это было бы правдой, если бы оно небыло бы включено по
> умолчанию...А оно и не включено. Это — настройка в аккаунте и она по дефолту ОТКЛЮЧЕНА. Отключена, понимаешь?
> Не все, а только те на которых включены сервисы и ты разрешил это делать. Не обманывай людей.То есть на всех, кроме Сяоми и Хуавей. Ну и всяких LineageOS.
и ты разрешил это делать
и ты разрешил это делать
и ты разрешил это делать
и ты разрешил это делать
и ты разрешил это делать
>Конечно же, это не для слежки, а чтобы геолокация корректно работала.Ну да, конечно чтобы геолокация. Работала. Корректно. Для получателя. Который запрашивает DNS у "резолвера". Да кому интересен получатель?
Всем интересен получатель. Нынче данные трекинга — один из самых ценных "цифровых товаров".
whoami-ecs.lua.powerdns.org - покажет адрес твоей подсети, если он белый.host whoami.v4.powerdns.org
:)
Ведь ежу же понятно, что огромные пакеты EDNS не влезут в обычные пакеты без фрагментации. И всем известно как отвратно работает фрагментация в IPv4. Нужно было делать новый DNS на отдельном порту, со встроенным механизмом фрагментации и быстрого восстановления потерянных фрагментов. Какой идиот предложил фрагментировать UDP/DNS?
Инициатива этой компашки тоже понятна, запросы через TCP замедлят DNS раза в три, а у DoH такой проблемы нет, все дружно переходим на DoH. Можно даже избавиться от обычного DNS и прописывать зоны зразу на серверах гугла или другой корпорации, так работать будет быстрее всего.
> Какой идиот предложил фрагментировать UDP/DNS?Может это была особенность UDP? Нет?
> у DoH такой проблемы нет, все дружно переходим на DoH
DoH не замена DNS. DoH по сути - это только зашифрованный туннель до вашего DNS сервера. И нужен он, чтобы ваш провайдер не мог путём мониторинга ваших пакетов узнавать куда вы ходите.
> Может это была особенность UDP? Нет?В изначальном UDP/DNS был лимит 512 байт, он втискивался даже в ATM.
> DoH не замена DNS.
Пока ещё не замена DNS.
>> DoH не замена DNS.
> Пока ещё не замена DNS.Если в браузерах добровольно-принудительно запретить обычный DNS и разрешить работу только с NSA approved DoH providers вполне реально (и процесс уже идет), то весь остальной сетевой софт так порезать весьма проблематично. Поэтому в ближайшие годы DNS продолжит играть значимую роль в структуре Сети.
> то весь остальной сетевой софт так порезать весьма проблематично. Поэтому в
> ближайшие годы DNS продолжит играть значимую роль в структуре Сети.Кому нужен ваш дремучий легаси, когда есть модно-молодёжный PWA? К тому же уже сейчас роутеры учатся использовать DoH в качестве своего резолвера.
Будто бы это сейчас для людей все сделано. Пусть померает к чертям, не нужен такой "интернет" нормальным людям.
>И нужен он, чтобы ваш провайдер не мог путём мониторинга ваших пакетов узнавать куда вы ходите.Он нужен, чтобы только гугл знал, куда вы ходите. И ИСКЛЮЧИТЕЛЬНО гугл.
Чтобы провайдер не узнал, есть куча вариантов.
А вздесь вариант только один - гугл.
У тебя шапочка из фольги съехала
Ой.
Не переживайте, в вашей стране скоро запретят DOH и ESNI законодательно. И Вы сможете наслаждаться своим любимым, быстрым и не безопасным udp dns.
Надо держаться европейских трендов (хотя Британия уже не Европа).
Разваливается союз..
А что вы хотели? Социализма в нем едва ли не больше, чем в СССР 80-х. Одна хорошая холодная война — и капец очередному союзу.
> А что вы хотели? Социализма в нем едва ли не больше, чем
> в СССР 80-х. Одна хорошая холодная война — и капец очередному
> союзу.Социализма в ЕС нет вообще. Одним из признаков социализма является запрет на частную собственность на средства производства. Нет такого в ЕС и никогда не будет. Ты путаешь социализм(людоедскую идеологию насаждавшуюся советским союзом) и меры социальной поддержки. Это вещи совершенно разные и не родственные. Не путай их.
4096 байт было слишком много всем и потому решили что 1232 будет всем в самый раз.
А по факту сделали костыль в виде EDNS и теперь огребают проблемы с размерами записей и фрагментацией.
Но ладно бы так. Но они сделали ещё лучше и теперь вместо получения двух фрагментов пакета мы получаем ошибку, устанавливаем TCP соединение, затем повторно посылаем весь запрос заново и снова ждём ответа.
Ну тебе никто не запрещает предложить свой собственный идеальный стандарт для решения всех проблем Вселенной.
Пусть остаётся так как сейчас с 4096
>Сегодня ряд крупных DNS-сервисов и производителей DNS-серверов проведут совместное мероприятие DNS flag day 2020А вчера нельзя было?
00:04, 02/10/2020
специально для Вас, оно было вчера... :)
Это был сарказм.
А как случилось, что MTU стал 1280,а не 1500? Это типа с накидкой VPN?
Из объяснений в первоисточнике я понял, что им, наоборот, нужен минимально возможный mtu. А IPv6 требует не менее 1280.
Это с накидыванием говноV6 на вентилятор. Который overbloat как он есть.
Можно хранение DNS в браузере через about:config поставить "сутки" и все проблемы решены.