Új hozzászólás Aktív témák
-
zoka.
tag
Jó 2 évvel a cikk után én is beleszólnék
Mint a végén írtad tűzfalon simán kitakarítanád azokat a címeket, ahonnan sok kérés jön. Ezzel tehermentesíted a root servert, oké. De mivel kilőttél rengeteg ip-címet, azokról nem lehet elérni a root servereket, ergo elérték a céljukat, részben lebénul az internet.
Szerintem elég nagy biztonsági +-t adna, ha rendszergazdai beavatkozásra egyszerűen meg lehetne tartani a cache-ben tárolt rekordokat, vagy akár beszerezni más serverek cache-eiből is. Ezzel gyakorlatilag az internet főbb használt részét függetleníteni lehetne a root serverektől, amíg helyre nem állnak.
Mert akkor jelen helyzetben, ha egy nagyon jól szervezett katonai támadással lebombárnák megsemmisítenék az összes root servert, pár napon belül megállna az élet, cache kiürül, rendszer meghal. Igen tudom egy ilyenre kb 0% az esély, de elméletben lehetséges. Míg ha meg lehetne állítani a cache törlését, akkor az akár többmillió gépet kiütni már tényleg lehetetlen.
Elgondolkodva, én nem innen közelíteném meg a témát.
Teljesen kifektetni nem lehet, de legalább akkora galibát okozna, ha rossz IP-címet dobna vissza.
Tehát valahogy a root serverekben kéne kicsit átrendezni a rekordokat, ez szépen lemásolódik a cache-be és mire észbekap a jónép már nincs az a gép, ami tudja mindenre a helyes feloldást. (Persze ott vannak a mentések stb, de helyreállítani idő.)
Ehhez nem a nyers erő, hanem inkább a logika kell. Egyszerre 13 különböző rendszerbe betörni. Ez sem könnyű feladat, de szerintem jobban kivitelezhető. -
#52
kukif
csendes tag
Csongeee10
#51
kukif
csendes tag
válasz
Csongeee10
#51
üzenetére
Ha az elsődleges meghal legyen másik.
-
#51
Csongeee10
tag
Csongeee10
tag
Sziasztok.
Miért van szükség másodlagos DNS szerverre? -
bambano
titán
a cikk témája az volt, hogy átlag felhasználóra milyen hatással van, ha borul a root szerver. ebbe az, hogy mitől nem borul a szerver, nem tartozik bele.
Nem emlékszem, hogy régebben Pásztor Miklóshoz mennyire volt köthető az ns.nic.hu, de Miki már évek óta egyetemen dolgozik, nem a sztakiban. KIssG-nek, emlékeim szerint, több köze volt hozzá.
-
kukif
csendes tag
bombano szép cikk grat. Viszont anycast-ről írhattál volna, jelen esetben ez a lényeg.
Akit esetleg érdekel a DNS hierarchia itt http://deneb.iszt.hu/~pasztor/dnslap.html olvashat Pasztor Miklós (ns.nic.hu hozzá köthető) kolléga leírását.
Valamint nálunk is van egy root szerver a K http://k.root-servers.org/ -
bambano
titán
persze, de egy hozzáférés-szolgáltatónál nincs bent semmi, amit támadni lenne érdemes, tehát minek is támadna? kívülről értelmetlen támadni, belülről meg nem a határvédelem védi a szervereket.
egy indexet vagy guglit érdemes határon védeni, mert szakmai szempontok szerint oda volna értelme ddost tolni. de hogy nálam ledosolják az ezer éve nem frissített webszervert... hát biztos siratóasszonyok özöne tépné magáról a ruhát, hogy nem tudja letölteni az ászf-et meg a tavalyi rendelkezésre állási jegyzőkönyvet...
-
jerry311
nagyúr
Ez persze nem zarja ki, hogy halozaton belul is vedd az 'ertekesebb' eroforrasokat. Lehet hogy elbirjak az eszkozok, mint ahogy nekunk is rohogve tolta tovabb a layer3 switch a 8 Gbps-t, de jobb ha mar a sajat halozatod hataran megallitod a forgalmat az jo. Eggyel tobb vedelmi vonal.
-
jerry311
nagyúr
Na modnjuk ezzel pont jol beszo... mert a csodalatos szolgaltatom csak 1 db DNS szerver IP cimet ad meg. (hogy most emogott 1 vagy tobb szerver van az mas kerdes, a tapasztalatok alapjan gyakorlatilag lenyegtelen).
Ket hete szombaton orakon at elerhetetlen volt, azota van bent masodlagos szervernek a 8.8.8.8.Idealis esetben persze hogy az lenne a jo, de hat nagy forgalomra anomaly detection vagy eppen IPS/IDS az draga igy nem lehet mindenhova tenni. Szerencsere a szolgaltato(k egy resze) szeretne megvedeni a halozatat a felesleges forgalomtol, ezert szaporodnak a halozataik hataran az ilyen eszkozok. Sajnos csak lassan.
-
jerry311
nagyúr
Ez attol fugg milyen vonalon megy.
Lattam en mar 8 Gbps DDOS-t is, ami nem okozott problemat.
Csak azt eredmenyezte, hogy addig soha nem latott 20%-os terheles volt a 4x10 Gbps uplinken.
Jo helyen kell megfogni es akkor el sem er odaig, ahol mar szuk lenne a savszelesseg.Tavaly nyaron voltam benne egy ilyen kezdemenyezesben, ahol tobb nagy (egesz europaban szolgaltato) ceg osszeallt, hogy kozosen lepjenek fel a DDOS ellen. Ennek eredmenye az lesz, hogy a szovetseg halozataira kiterjedo hataron fogjak majd meg a nem kivanatos forgalmat. Kivancsi leszek valaha osszeall-e...
-
Vladi
nagyúr
"alig hinném, hogy egy IP-re olyan sok domén lenne regisztrálva általánosan."
Micsoda? Hát dehogynem. Kicsi webszerver szolgálatátó cégeknél 1 szerverre jut vagy... többszár. Szóval de, rengeteg is juthat.szerző: köszi a cikket. Ami a végét illeti szerintem megpróbálták, és nem sikerült, pont ezért.
-
bambano
titán
ha olyan tld-ről van szó, amit ritkán használnak, akkor bukta, de ez benne van a posztban is.
a cache idő felülbírálata konfigurációs szinten nem szerepel tudtommal a dns szerverben, vagyis úgy tudnád módosítani, hogy leállítod a dns rezolvert, átírod adatbázis szinten a cache-t és újraindítod. ez gyakori és relatíve nagy szolgáltatáskieséssel járhat. nem éri meg.
-
icons
addikt
Igaz, igaz, de ha másik tld-ben levő címet szeretnél elérni, akkor nem tudsz eljutni hozzá, mert a root nem mutatná meg, merre kérdezősködj tovább.
Jaigen, alapból szerintem se, valami olyasmire gondoltam ,hogy esetleg lehetne olyat, hogy egy programmal folyamatosan átírják a cache időt. De nem tudom, ez mennyire kivitelezhető (átírni configból egy cahce bejegyzés ttl-jét), meg ez sokkal több munkával járna, mint amennyit bárki szívesen megcsinálna
-
bambano
titán
elvileg okozhatna, de a root dns-ben lehet magas a cache-elési idő, mert új tld-t évek hosszú vitája után vezettek csak be eddig, ott nincs értelme alacsony időt használni. Viszont egy tld-ben meg igen, mert ott gyakran változik a tartalom. A root dns-ek támadása csak az előbbit ütné le.
Szerk: szerintem azt nem lehet beállítani, hogyha nem tudja elérni a szervert, akkor az eddigi ip-t használja, mert a cache bejegyzést a ttl lejárta után eldobja és a protokollban nincs benne, hogy ha ddosolják a root szervert, akkor mégse dobja el.
-
icons
addikt
De akkor ha direkt nem állítják nagyobbra a chache tárolási időt, akkor ez is okozhat problémát? (tehát hiába van meg a pl gyakran használt FB IP címe a zóna kezelőjének, hogyha azt frissítenie kell, és nem tudja)
Ergó: HA sikerülne kilőni mind a 13root szervert (ami nem fog sikerülni, csak elméleti síkon kérdezem!), akkor emiatt borulna minden a bilibe? (hacsak nem állítanák be, hogyha nem éri el a root szervert, akkor az eddigi IPt használja a domainhez pl)
-
bambano
titán
de, az egész folyamatosan változik. nézd meg a dns-ben, hogy mennyi a cache-elési idő, van, hogy pár óra. most képzeld el, hogy vidéki vállalat vett 4 megás adsl-t, rárakott egy gagyi pc-t szervernek és ezen a 4 megán kellene neki folyamatosan frissítenie x tera adatbázist. lehetetlen.
az igaz, hogy a véges erőforrás egyszer elfogy, ha csúnya bácsik úgy akarják. de abba van beleszólása a program írójának, hogy amikor fogyóban az erőforrás, akkor arra hogyan reagáljon a kernel, az oprendszer és a dns szerver. Most egy alap rendszeren úgy is reagálhat, hogy:
a./ a dns szerver kérne memóriát, de nem kap, ezért összeomlik
b./ a rendszermag látja a nagy memóriafoglalást és kivágja a processzt
c./ egyéb nem meghatározott módonde ha valaki felkészül a ddos-ra, akkor változtathat ezen.
-
#28
huskydog17
addikt
huskydog17
addikt
Én is nagyon szépen köszönöm a cikket, valóban nagyon értékes és hiánypótló!
-
kpityu2
addikt
sokkal egyszerűbb olyan dns szervert írni, ami bírja.
Ezt hogy érted? Ahogy a cikk is kifejti, minden kapacitás véges, tehát kimeríthető.
Ami a domén-> ip összerendelést illeti, alig hinném, hogy egy IP-re olyan sok domén lenne regisztrálva általánosan. Azonkívül elég a változásokat kezelni, az új adatokat letárolni átmeneti tárolóban, és időszakonként összefésülni a régivel. Nem gondolom, hogy az egész folytonosan változik, és állandóan írogatni kellene.
-
bambano
titán
csakhogy téged nem az ip->domain név összerendelés érdekel, hanem a domain név->ip összerendelés. egyrészt erre felső korlátot adni nehéz, mivel simán lehet akár több száz domain neve is egy gépnek, másrészt ezt karban tartani teljes adatbázis szintjén nagyobb munka, mint amennyit ér, jó esetben lehetetlen.
-
kpityu2
addikt
Azon elmélkedem, hogy a sima IP tartomány ami ugyebár mostanában fogy el 255x255x255x255 címet tartalmaz. Ha egy domén név max. 255 karakter hosszú, akkor az összes név tárolásához kb. 1 TB hely kell. Jó, mondjuk 4 TB.
Ez nem nagy hely, egy ISP szolgáltató simán tárolhatja az összes címet, csak a változások rögzítését kell kezelni. Vagyis ha nincs a gyorsítótárban, és nem éri el a root DNS-t, még mindig rápróbálhat a rendszeresen frissített "archívumra". -
icons
addikt
2 dolog:
- Úgy tudom, volt már egyszer egy támadás a root szerverek ellen, amikor még 7 volt belőlük. És azt hiszem, 4et sikerült is megbénítani. A megbénítottak számában nem vagyok biztos, és természetesen ezt ma jóval nehezebb lenne kivitelezni gondolom a jóval fejlettebb gépeknek (tűzfalaknak, stb) köszönhetően- Úgy tudom a nameserverek (ISPé pl) csak bizonyos ideig tárolják a feloldott címeket (hiszen nekik is véges memóriájuk van), utána gondolom megint lekérdezik a root-tól. Talán... ez az idő 1ms től 1napig terjedhet (nem biztos ez sem
), ez nem jelenthet gondot? Nyilván csak akkor jelentkezhet jelentős probléma, ha mind a 13szervert két vállra tudják fektetni.Egyébként grat az íráshoz, nagyon korrekt darab, érthető, és ha valahol volt valami, amit leegyszerűsítettél, akkor azt jelezted!
-
#15
kiskaktusz
addikt
kiskaktusz
addikt
Jó írás, mert nem olyan tömény a laikusoknak!
Köszi! -
#14
fondorlatos
aktív tag
fondorlatos
aktív tag
Jó cikk. Köszönet a közérthető leírásért!
-
Geller72
veterán
..még nem látni semmit..de nem is hiszem, hogy lenne valami. Kivitelezhető lenne a dolog, de nem pont így. Az Anycast megfogná a javát. Ez az első, amit bevédenek, és folyamatosan monitoroznak.
-
Grat! Nagyon érthető és informatív lett.
Amúgy a botnetnek nem pont az a lényege, hogy egyszerre sok címtartománnyal támad?
De egyébként még ez sem olyan lényeges, hiszen még egy kisebb kiesés sem jár katasztrófával
Új hozzászólás Aktív témák
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Poco X6 Pro - ötös alá
- Xbox Series X|S
- Milyen billentyűzetet vegyek?
- Küszöbön az androidos PC-k
- Borderlands 4
- Vallás
- Mégis marad a Windows 10 ingyenes frissítése
- aquark: Jó platformer játékokat keresek!
- Anime filmek és sorozatok
- További aktív témák...
- GARANCIÁLIS BONTATLAN MINDEN MACBOOK AIR M4
- Tyű-ha Lenovo Thinkpad X1 Carbon G8 Profi Érintős Laptop 14" -50% i7-10610U 4Mag 16GB/512GB FHD IPS
- AKCIÓ BONTATLAN GARIS IPHONE 16 PRO ÉS PRO MAX MINDEN SZÍNBEN ÉS TÁRHELLYEL 1 ÉV GARANCIÁVAL
- iPhone 17 Air - összes tárhely és szín bontatlan, viszonteladótól független 1év Apple garanciális
- iPhone 13 128GB midnight-black, független + extra tokok
- LG 49SE3D-B 49" FullHD LED Monitor
- Lenovo V130-15IGM laptop (Pentium Silver N5000/8GB/256GB SSD
- BESZÁMÍTÁS! Intel Core i7 6700K 4mag 8szál processzor garanciával hibátlan működéssel
- PlayStation DualSense Edge kontroller AKCIÓ!!! // Számla + Garancia //
- 154 - Lenovo LOQ (15IRX9) - Intel Core i5-13450HX, RTX 4060
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest