а ещё и подсовывают для них поддельные IP-адреса через DNS?
Будучи в Москве, и подключившись к местному интернету, я запустил браузер в своём ноутбуке, и некоторые сайты оказались недоступны.
В частности, linkedin:
Ну, хотя этот сайт действительно запрещён Роскомнадзором, но IP-адреса в списке запретов совершенно другие, этого там нет:
Он оказался у российского интернет-провайдера:
И совершенно недоступный:
( Read the rest of this entry » )Оригинал этой записи в личном блоге.
А потом тот же африканский сотрудник попросил зарегистрировать ещё один домен в .co.mw. Ну, я попробовал на marcaria.com, где мы обычно регистрируем африканские домены, регистратор деньги за него взял, но написал, что домен ещё только в процессе регистрации, и этот процесс может занять до 30 дней..
Видимо, это передача данных владельцу самогО домена co.mw, и получение одобрения от него может быть такое долгое..
Upd: через час регистратор уже показывает домен зарегистрированным, но авторизованные NS-сервера co.mw его ещё вовсе не показывают..
Upd2: а ещё примерно через час в DNS-серверах уже всё нормально стало.
Оригинал этой записи в личном блоге.
natribu.nu ?
Я вроде уже писал, что зарегистрировал его несколько лет назад для lleo, но он использовал natribu.org вместо этого.
Теперь он ни ему, ни мне не нужен, поэтому если кто захочет, могу отдать. Ну а если нет, то просто разрегистрирую.
Оригинал этой записи в личном блоге.
ну и починить, чтоб работали. Зашёл посмотреть, а.. сегодня они на всех серверах уже сработали. Магия??
Ну явно кто-то что-то там поменял. Стал смотреть, кто на эти машины заходил — оказалось, что за последнюю пару месяцев только я туда и заходил – вчера и сегодня..
Но я ж там с бэкапами ещё ничего не делал, только NTP вчера проверял на куче машин, включая эти. В процессе обнаружилось, что NTP-демоны там везде есть, но почему-то не работают. Попробовал руками ntpdate запустить, а он не может преобразовать имена серверов в IP-адреса.. Пошёл копать, оказалось, что файрвол на маршрутизаторе в интернеты почему-то не разрешал этим машинкам наружу выходить, так что они не могли достучаться ни до DNS-, ни до NTP-серверов. Ну я его подправил, всё заработало.
Выходит, что это и на бэкапы как-то повлияло. Но как же? Там же всё на локальные диски складывается.
( Read the rest of this entry » )Оригинал этой записи в личном блоге.
Теперь можно зарегистрировать домен, выглядящий точно так же, как чужой, только с буковками из другого алфавита. И даже приделать к нему честно подписанный SSLный сертификат: https://www.аррӏе.com/ …
Выглядит почти как настоящий, но на самом деле это xn--80ak6aa92e.com, с буквами из кириллицы: “а”, “р”, “е”, и “ӏ” (так называемая, “палочка” , которая используется в некоторых кавказских языках).
Подробности тут.
Как обычно, про эту дырку в безопасности сообщил Брюс Шнайер.
Оригинал этой записи в личном блоге.
Получивши от одного из регистраторов доменов уведомление о скидках на новые домены, пошёл посмотреть, что там ещё нынче есть.
И кроме давно существующего домена первого уровня .me (национальный домен Черногории – Montenegro), теперь ещё обнаружились:
.moi, .direct, .website, .family, .love, .group, .team, .vip, .center, .land, .world, .global, .earth, .space,
а также: .photo, .photos, .photography, .pic, .pictures, .graphics, .media, .audio, .tube, .stream, .film, .movie, .video, .show, .camera, .tv (тоже, кстати, национальный – Tuvalu),
.vodka, .beer, .wine (Санчес, это для тебя!),
.live (это пока ещё для меня?),
.cool, .black, .blue, .green, .red,
.pet, .dog, .cat, .fish, .horse,
.guru, .xyz, .lol, .fun, .sexy, .sex, .xxx, .porn, .sucks
и сотни других. Хотя некоторые дико дорогие – сотни, и даже тысячи долларов за год, но некоторые, наоборот, можно приобрести за копейки.
Кому хочется посмотреть полный список нынешних доменов первого уровня, то вот он на IANA.
Небольшое дополнение только для тех, кто со мной лично знаком.
( Read the rest of this entry » )Оригинал этой записи в личном блоге.
Это такая система для аналитических запросов к гигантским базам данных, обновляемым в реальном времени. Изначально разрабатывалась для работы с Яндекс.Метрикой.
Брать тут, статья на хабре: https://m.habr.com/en/company/yandex/blog/303282/
P.S. Посмотрев на первую ссылку, я внезапно узнал, что у Яндекса уже почти два года как есть собственный домен первого уровня: yandex. У гугла, кстати, тоже: google. Это такая новая мода?
Оригинал этой записи в личном блоге.
узнали о существовании CDN. Какая сука им рассказала?!
Теперь жежешечка вообще не показывается, потому что браузер пытается что-то загрузить из неработающей сети какого-то _корейского_ CDN-провайдера. Ничего поприличнее, конечно же, не нашлось.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
$ host l-stat.livejournal.com
l-stat.livejournal.com is an alias for l-stat.livejournal.com.cdngc.net.
l-stat.livejournal.com.cdngc.net has address 175.41.12.69
l-stat.livejournal.com.cdngc.net has address 175.41.12.116
$ host l-userpic.livejournal.com
l-userpic.livejournal.com is an alias for l-userpic.livejournal.com.cdngc.net.
l-userpic.livejournal.com.cdngc.net has address 175.41.12.106
l-userpic.livejournal.com.cdngc.net has address 175.41.12.115
$ tcptraceroute -n 175.41.12.69
Tracing the path to 175.41.12.69 on TCP port 80 (http), 30 hops max
...
3 109.255.250.254 211.935 ms 8.104 ms 8.000 ms
4 84.116.238.62 160.239 ms 121.779 ms 138.025 ms
5 84.116.134.125 151.667 ms 122.748 ms 122.037 ms
6 84.116.130.33 120.967 ms 127.382 ms 121.810 ms
7 84.116.130.66 122.759 ms 140.265 ms 141.514 ms
8 84.116.130.106 123.469 ms 327.008 ms 126.481 ms
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
...
$ whois 175.41.12.69
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '175.41.0.0 - 175.41.15.255'
inetnum: 175.41.0.0 - 175.41.15.255
netname: UTILUS
descr: UTILUS
descr: 533 5F Lotte BD SEOUL Gasan-dong Geumcheon-gu Seoul
descr: ***********************************
descr: Allocated to KRNIC Member.
descr: If you would like to find assignment
descr: information in detail please refer to
descr: the KRNIC Whois Database at:
descr: http://whois.nic.or.kr/english/index.htm
descr: ***********************************
country: KR
admin-c: SL2321-AP
tech-c: SL2321-AP
status: Allocated Portable
remarks: www.utilus.net
mnt-by: MNT-KRNIC-AP
mnt-lower: MNT-KRNIC-AP
changed: hm-changed@apnic.net 20091214
source: APNIC
person: SeungHo Lee
nic-hdl: SL2321-AP
e-mail: network@utilus.net
address: 533 5F Lotte BD SEOUL Gasan-dong Geumcheon-gu Seoul, 153-023
phone: +82-2-3441-0491
fax-no: +82-2-565-8376
country: KR
changed: hostmaster@nida.or.kr 20080102
mnt-by: MNT-KRNIC-AP
source: APNIC
% Information related to '175.41.0.0 - 175.41.15.255'
inetnum: 175.41.0.0 - 175.41.15.255
netname: CDNETWORKS-KR
descr: CDNetworks
country: KR
admin-c: YK603-KR
tech-c: YK603-KR
status: ALLOCATED PORTABLE
mnt-by: MNT-KRNIC-AP
mnt-irt: IRT-KRNIC-KR
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr
source: KRNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS4)
$ whois cdngc.net
...
Domain Name: CDNGC.NET
Registrar: TIERRANET INC. D/B/A DOMAINDISCOVER
Whois Server: whois.domaindiscover.com
Referral URL: http://www.domaindiscover.com
Name Server: NS1.PANTHERCDN.COM
Name Server: NS2.PANTHERCDN.COM
Status: clientTransferProhibited
Updated Date: 14-jan-2013
Creation Date: 19-mar-2009
Expiration Date: 19-mar-2015
...
Registrant:
CDNetworks Co., LTD.
Handong Bldg 67F 8287YeoksamDong GangnamGu
Seoul, Seoul 135935
KR
Domain Name: CDNGC.NET
Registrar: TIERRANET INC. D/B/A DOMAINDISCOVER
Administrative Contact, Technical Contact, Zone Contact:
CDNetworks Co., LTD.
Cho Byung Ryong
Handong Bldg 67F 8287YeoksamDong GangnamGu
Seoul, Seoul 135935
KR
82-2-3441-0444
(822)569-9632 [fax]
domain@queue.cdnetworks.com
Domain created on 18-Mar-2009
Domain expires on 18-Mar-2015
Last updated on 14-Jan-2013
Оригинал этой записи в личном блоге.
В связи с тем, что dyndns.org испортился и начал хотеть денег за свои услуги, пришлось таки озаботиться этим вопросом, изучить матчасть..
В общем-то, динамические апдейты в DNS реализованы уже много лет назад, но как обычно, есть некоторые тонкости. Под катом краткое руководство для тех, кому интересно.
Подразумевается, что у вас уже есть собственный домен, собственный первичный DNS-сервер для этого домена (BIND), и клиент под юниксом/линуксом. Вероятно, на роутере, работающем под openwrt/dd-wrt, такой метод тоже сработает с небольшими поправками, но я лично не пробовал.
Оригинал этой записи в личном блоге.
В связи с тем, что dyndns.org теперь хочет денег за все свои услуги (хотя лично мой домен всё ещё работает, и никаких уведомлений о том, что за него надо заплатить, я пока не получал, но на сайте у них ничего бесплатного уже не осталось), ссылочки по теме:
большой список провайдеров dyndns, платных и бесплатных
GnuDIP, единственная найденная мной реализация DynDNS-сервера. Правда, довольно древняя, 2003 года, но других не нашлось.
Оригинал этой записи в личном блоге.
Захотел перенести домен к другому регистратору, а то 20 евро в год за .org это как-то слишком дофига. Нажал там кнопочку для получения кода, а мне в ответ сообщили, что сначала, дескать, мы запросим подтверждение у владельца (а я тогда кто??).
Ну ладно, подтверждение так подтверждение. Пошел в почту, там письмо, что если вы хотите отказаться от переноса домена, то ткните вот в эту ссылку, а если не хотите, то.. ничего не делайте. Хорошенькое такое подтверждение.
Вернулся обратно в веб-интерфейс, а там надпись поменялась на “To accept the TransferOut : wait 5 days.<br /> To abort it use the link provided by mail.”
Это у всех регистраторов такие шутки, или только EuroDNS весь такой особенно ненатуральный?
Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.
Comodo Secure DNS. Встречайте:
$ dig mail.ru @8.26.56.26
; <<>> DiG 9.7.0-P1 <<>> mail.ru @8.26.56.26
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39254
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;mail.ru. IN A
;; ANSWER SECTION:
mail.ru. 0 IN A 174.129.145.134
;; Query time: 19 msec
;; SERVER: 8.26.56.26#53(8.26.56.26)
;; WHEN: Tue Nov 1 14:21:22 2011
;; MSG SIZE rcvd: 41
$ host 174.129.145.134
134.145.129.174.in-addr.arpa domain name pointer ec2-174-129-145-134.compute-1.amazonaws.com.
В смысле, если кто им пользуется, срочно выключайте. А то фиг знает, какой фишинговый сайт вам там подсунут вместо того, что вы ожидали.
Второй их сервер 8.20.247.20 отвечает ровно то же самое.
Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.
Мне тут напомнили, что Яндекс умеет поддерживать DNS для пользовательских доменов. Пошёл посмотреть, что там как. С момента введения этой услуги прошло полгода. Редактор как был страшным глюкалом, так и остался:
Примечания:
Вы видите там поле “Адрес”? Вот и я тоже. И какие из этих символов недопустимы, загадка великая есть.
Надпись “удаляется” для удалённых записей, как и “добавляется” для свежедобавленных, сама по себе не исчезает никогда. Для этого надо либо принудительно перегрузить страницу, либо произвести какие-нибудь ещё активные действия. Иначе ссылки “настроить” для неправильно введённой записи вы не увидите никогда и исправить её не сможете.
Про замечательные имена хостов, пропускаемые валидатором, я молчу.
Minimum TTL был отменён RFC 2308 в 1998 году, аккурат 13 лет назад. С тех пор в этом поле хранится TTL для отрицательных ответов.
К чему относится поле TTL, угадайте сами.
Ну и время в миллисекундах — это десять баллов.
Оригинал этой записи. Комментировать можно тут или там.
“Уважаемый клиент!
РосНИИРОС, как администратор доменов NET.RU, ORG.RU, PP.RU, планирует 27 декабря 2010 года передать деятельность по регистрации и поддержке доменных имен третьего уровня в доменах NET.RU, ORG.RU и PP.RU в компанию RU-CENTER.
…
Регистрация доменов третьего уровня в .NET.RU, .ORG.RU и .PP.RU через веб-интерфейс РосНИИРОС останавливается 20 декабря 2010 года и будет возобновлена 27 декабря 2010 года через веб-интерфейс RU-CENTER на платной основе, при этом ограничение на число заявок будет снято.”
Это они о чём? Монетизация ранее бесплатных доменов, или что?
Оригинал этой записи. Комментировать можно тут или там.
Недавно в ![[info]](https://stat.livejournal.com/img/community.gif){kind=small}
ru_root интересную задачку подкинули:
на локальном DNS-сервере поднять “расширение” зоны. То есть, добавить несколько записей про хосты, которые на авторитетных серверах отсутствуют. И чтобы локальный сервер про эти явно добавленные записи отвечал сам, а про все остальные рекурсивно ходил к авторитетным серверам.
Вытянуть из авторитетных серверов всю зону и поднять её у себя по условию задачи не представляется возможным (её либо не отдают, либо она часто меняется).
Сервер для определённости пусть будет bind.
Ответ есть там.
Оригинал этой записи. Комментировать можно тут или там.
А вот если у Windows есть несколько сетевых соединений, и на каждом из них настроены свои DNSы, то в каком порядке эти DNSы будут использоваться при разрешении имён?
Более узкий вопрос: есть физическое соединение (со своим DNSом) и поверх него VPN (со своим DNSом). Поскольку при поднятии VPN Windows не отключает default route через физическое соединение, а только сильно повышает ему метрику, то пакетам ничто не мешает ходить через это физическое соединение в приделанный к нему DNS-сервер. Будет ли в этом случае использоваться первый сервер, второй сервер, оба по очереди, оба сразу – кто быстрее ответит, или как?
Upd: поведение DNS-клиента описано тут: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772774(v=ws.10)
“The DNS Client service queries the DNS servers in the following order:
и т.д.
Осталось понять, кто есть preferred adapter..
Оригинал этой записи. Комментировать можно тут или там.
Чисто случайно обнаружилось, что мой домашний провайдер своими кэширующими ресолверами подменяет ответы NXDOMAIN (несуществующее имя) на IP-адрес своего поискового сервера.
Раньше это было незаметно, потому что на всех домашних линуксах стоят локальные кэширующие ресолверы, которые провайдерскими NSами вообще не пользуются. А тут вот на виндовой машинке вдруг обнаружилось.
Вопрос, собственно, в том, какие претензии можно предъявить по этому поводу провайдеру. Считать, что он подменяет мой трафик, нельзя – сервера провайдерские, он там что хочет, то и делает. Но очень хочется заставить его это не делать. Идеи есть?
Upd: Проблема лечится вписыванием директивы bogus-nxdomain=67.63.50.50 в /etc/dnsmasq.conf
Спасибо ![[info]](https://stat.livejournal.com/img/userinfo.gif){kind=small}
brj за идею.
Оригинал этой записи. Комментировать можно тут или там.
Зарегистрировал домен в зоне .im. И авторитетные NSы указал в том же домене. И тут оказалось, что все три авторитетных NSа .im понятия не имеют про glue records. Имена серверов выдают, а адреса – фиг.
Регистратор в ответ на мой вопрос “какого хрена?” вежливо послал меня лесом: “We would like to inform you that you have to contact the Host of the nameserver, we can´t help you cause you don´t use our nameserver.”
Не, я не гордый, могу там указать сервера из другого домена, но осадочек-то остался..
Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.
$ dig malina.ru @ns2.malina.ru. ; <<>> DiG 9.5.1-P2 <<>> malina.ru @ns2.malina.ru. ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 950 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;malina.ru. IN A ;; ANSWER SECTION: malina.ru. 2439 IN A 10.100.41.1
Для сравнения:
$ dig malina.ru @ns1.malina.ru. ; <<>> DiG 9.5.1-P2 <<>> malina.ru @ns1.malina.ru. ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47953 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 2 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;malina.ru. IN A ;; ANSWER SECTION: malina.ru. 43200 IN A 212.65.95.193 ;; AUTHORITY SECTION: malina.ru. 43200 IN NS ns1.malina.ru. malina.ru. 43200 IN NS ns2.malina.ru. malina.ru. 43200 IN NS ns4.nic.ru. malina.ru. 43200 IN NS ns8.nic.ru. ;; ADDITIONAL SECTION:
ns1.malina.ru. 43200 IN A 212.65.95.197
ns2.malina.ru. 43200 IN A 212.65.95.200
Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.
$ dig yandex.net A @172.16.64.106
; <<>> DiG 9.5.0-P2 <<>> yandex.net A @172.16.64.106
;; global options: printcmd
;; Got answer:
;; ->>HEADER>>- opcode: QUERY, status: NOERROR, id: 51182
;; flags: qr aa; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 3
;; QUESTION SECTION:
;yandex.net. IN A
;; ANSWER SECTION:
yandex.net. 7200 IN A 213.180.204.11
yandex.net. 7200 IN A 77.88.21.11
yandex.net. 7200 IN A 87.250.251.11
;; AUTHORITY SECTION:
yandex.net. 172800 IN NS ns2.yandex.net.
yandex.net. 172800 IN NS ns5.yandex.net.
yandex.net. 172800 IN NS ns1.yandex.net.
;; ADDITIONAL SECTION:
ns1.yandex.net. 172800 IN A 213.180.193.1
ns2.yandex.net. 172800 IN A 213.180.199.34
ns5.yandex.net. 172800 IN A 213.180.204.1
;; Query time: 111 msec
;; SERVER: 172.16.64.106#53(172.16.64.106)
;; WHEN: Tue Mar 31 13:22:49 2009
;; MSG SIZE rcvd: 178$ dig yandex.net A @172.16.64.106
; <<>> DiG 9.5.0-P2 <<>> yandex.net A @172.16.64.106
;; global options: printcmd
;; Got answer:
;; ->>HEADER>>- opcode: QUERY, status: NOERROR, id: 52437
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;yandex.net. IN A
;; ANSWER SECTION:
yandex.net. 7193 IN A 213.180.204.11
yandex.net. 7193 IN A 77.88.21.11
yandex.net. 7193 IN A 87.250.251.11
;; Query time: 6 msec
;; SERVER: 172.16.64.106#53(172.16.64.106)
;; WHEN: Tue Mar 31 13:22:56 2009
;; MSG SIZE rcvd: 76