- Huawei Watch GT 2 Pro - egyszerűen gyönyörű
- Milyen okostelefont vegyek?
- One mobilszolgáltatások
- iPhone topik
- Mobil flották
- Android alkalmazások - szoftver kibeszélő topik
- Bemutatkozott a Poco X7 és X7 Pro
- Magisk
- Garmin Forerunner 970 - fogd a pénzt, és fuss!
- Kicsomagolták a Vivo X Fold 5-öt (videó és fotók)
Új hozzászólás Aktív témák
-
zoka.
tag
Jó 2 évvel a cikk után én is beleszólnék
Mint a végén írtad tűzfalon simán kitakarítanád azokat a címeket, ahonnan sok kérés jön. Ezzel tehermentesíted a root servert, oké. De mivel kilőttél rengeteg ip-címet, azokról nem lehet elérni a root servereket, ergo elérték a céljukat, részben lebénul az internet.
Szerintem elég nagy biztonsági +-t adna, ha rendszergazdai beavatkozásra egyszerűen meg lehetne tartani a cache-ben tárolt rekordokat, vagy akár beszerezni más serverek cache-eiből is. Ezzel gyakorlatilag az internet főbb használt részét függetleníteni lehetne a root serverektől, amíg helyre nem állnak.
Mert akkor jelen helyzetben, ha egy nagyon jól szervezett katonai támadással lebombárnák megsemmisítenék az összes root servert, pár napon belül megállna az élet, cache kiürül, rendszer meghal. Igen tudom egy ilyenre kb 0% az esély, de elméletben lehetséges. Míg ha meg lehetne állítani a cache törlését, akkor az akár többmillió gépet kiütni már tényleg lehetetlen.
Elgondolkodva, én nem innen közelíteném meg a témát.
Teljesen kifektetni nem lehet, de legalább akkora galibát okozna, ha rossz IP-címet dobna vissza.
Tehát valahogy a root serverekben kéne kicsit átrendezni a rekordokat, ez szépen lemásolódik a cache-be és mire észbekap a jónép már nincs az a gép, ami tudja mindenre a helyes feloldást. (Persze ott vannak a mentések stb, de helyreállítani idő.)
Ehhez nem a nyers erő, hanem inkább a logika kell. Egyszerre 13 különböző rendszerbe betörni. Ez sem könnyű feladat, de szerintem jobban kivitelezhető. -
#52
kukif
csendes tag
Csongeee10
#51
kukif
csendes tag
válasz
Csongeee10
#51
üzenetére
Ha az elsődleges meghal legyen másik.
-
#51
Csongeee10
tag
Csongeee10
tag
Sziasztok.
Miért van szükség másodlagos DNS szerverre? -
bambano
titán
a cikk témája az volt, hogy átlag felhasználóra milyen hatással van, ha borul a root szerver. ebbe az, hogy mitől nem borul a szerver, nem tartozik bele.
Nem emlékszem, hogy régebben Pásztor Miklóshoz mennyire volt köthető az ns.nic.hu, de Miki már évek óta egyetemen dolgozik, nem a sztakiban. KIssG-nek, emlékeim szerint, több köze volt hozzá.
-
kukif
csendes tag
bombano szép cikk grat. Viszont anycast-ről írhattál volna, jelen esetben ez a lényeg.
Akit esetleg érdekel a DNS hierarchia itt http://deneb.iszt.hu/~pasztor/dnslap.html olvashat Pasztor Miklós (ns.nic.hu hozzá köthető) kolléga leírását.
Valamint nálunk is van egy root szerver a K http://k.root-servers.org/ -
bambano
titán
persze, de egy hozzáférés-szolgáltatónál nincs bent semmi, amit támadni lenne érdemes, tehát minek is támadna? kívülről értelmetlen támadni, belülről meg nem a határvédelem védi a szervereket.
egy indexet vagy guglit érdemes határon védeni, mert szakmai szempontok szerint oda volna értelme ddost tolni. de hogy nálam ledosolják az ezer éve nem frissített webszervert... hát biztos siratóasszonyok özöne tépné magáról a ruhát, hogy nem tudja letölteni az ászf-et meg a tavalyi rendelkezésre állási jegyzőkönyvet...
-
jerry311
nagyúr
Ez persze nem zarja ki, hogy halozaton belul is vedd az 'ertekesebb' eroforrasokat. Lehet hogy elbirjak az eszkozok, mint ahogy nekunk is rohogve tolta tovabb a layer3 switch a 8 Gbps-t, de jobb ha mar a sajat halozatod hataran megallitod a forgalmat az jo. Eggyel tobb vedelmi vonal.
-
jerry311
nagyúr
Na modnjuk ezzel pont jol beszo... mert a csodalatos szolgaltatom csak 1 db DNS szerver IP cimet ad meg. (hogy most emogott 1 vagy tobb szerver van az mas kerdes, a tapasztalatok alapjan gyakorlatilag lenyegtelen).
Ket hete szombaton orakon at elerhetetlen volt, azota van bent masodlagos szervernek a 8.8.8.8.Idealis esetben persze hogy az lenne a jo, de hat nagy forgalomra anomaly detection vagy eppen IPS/IDS az draga igy nem lehet mindenhova tenni. Szerencsere a szolgaltato(k egy resze) szeretne megvedeni a halozatat a felesleges forgalomtol, ezert szaporodnak a halozataik hataran az ilyen eszkozok. Sajnos csak lassan.
-
jerry311
nagyúr
Ez attol fugg milyen vonalon megy.
Lattam en mar 8 Gbps DDOS-t is, ami nem okozott problemat.
Csak azt eredmenyezte, hogy addig soha nem latott 20%-os terheles volt a 4x10 Gbps uplinken.
Jo helyen kell megfogni es akkor el sem er odaig, ahol mar szuk lenne a savszelesseg.Tavaly nyaron voltam benne egy ilyen kezdemenyezesben, ahol tobb nagy (egesz europaban szolgaltato) ceg osszeallt, hogy kozosen lepjenek fel a DDOS ellen. Ennek eredmenye az lesz, hogy a szovetseg halozataira kiterjedo hataron fogjak majd meg a nem kivanatos forgalmat. Kivancsi leszek valaha osszeall-e...
-
Vladi
nagyúr
"alig hinném, hogy egy IP-re olyan sok domén lenne regisztrálva általánosan."
Micsoda? Hát dehogynem. Kicsi webszerver szolgálatátó cégeknél 1 szerverre jut vagy... többszár. Szóval de, rengeteg is juthat.szerző: köszi a cikket. Ami a végét illeti szerintem megpróbálták, és nem sikerült, pont ezért.
-
bambano
titán
ha olyan tld-ről van szó, amit ritkán használnak, akkor bukta, de ez benne van a posztban is.
a cache idő felülbírálata konfigurációs szinten nem szerepel tudtommal a dns szerverben, vagyis úgy tudnád módosítani, hogy leállítod a dns rezolvert, átírod adatbázis szinten a cache-t és újraindítod. ez gyakori és relatíve nagy szolgáltatáskieséssel járhat. nem éri meg.
-
icons
addikt
Igaz, igaz, de ha másik tld-ben levő címet szeretnél elérni, akkor nem tudsz eljutni hozzá, mert a root nem mutatná meg, merre kérdezősködj tovább.
Jaigen, alapból szerintem se, valami olyasmire gondoltam ,hogy esetleg lehetne olyat, hogy egy programmal folyamatosan átírják a cache időt. De nem tudom, ez mennyire kivitelezhető (átírni configból egy cahce bejegyzés ttl-jét), meg ez sokkal több munkával járna, mint amennyit bárki szívesen megcsinálna
-
bambano
titán
elvileg okozhatna, de a root dns-ben lehet magas a cache-elési idő, mert új tld-t évek hosszú vitája után vezettek csak be eddig, ott nincs értelme alacsony időt használni. Viszont egy tld-ben meg igen, mert ott gyakran változik a tartalom. A root dns-ek támadása csak az előbbit ütné le.
Szerk: szerintem azt nem lehet beállítani, hogyha nem tudja elérni a szervert, akkor az eddigi ip-t használja, mert a cache bejegyzést a ttl lejárta után eldobja és a protokollban nincs benne, hogy ha ddosolják a root szervert, akkor mégse dobja el.
-
icons
addikt
De akkor ha direkt nem állítják nagyobbra a chache tárolási időt, akkor ez is okozhat problémát? (tehát hiába van meg a pl gyakran használt FB IP címe a zóna kezelőjének, hogyha azt frissítenie kell, és nem tudja)
Ergó: HA sikerülne kilőni mind a 13root szervert (ami nem fog sikerülni, csak elméleti síkon kérdezem!), akkor emiatt borulna minden a bilibe? (hacsak nem állítanák be, hogyha nem éri el a root szervert, akkor az eddigi IPt használja a domainhez pl)
-
bambano
titán
de, az egész folyamatosan változik. nézd meg a dns-ben, hogy mennyi a cache-elési idő, van, hogy pár óra. most képzeld el, hogy vidéki vállalat vett 4 megás adsl-t, rárakott egy gagyi pc-t szervernek és ezen a 4 megán kellene neki folyamatosan frissítenie x tera adatbázist. lehetetlen.
az igaz, hogy a véges erőforrás egyszer elfogy, ha csúnya bácsik úgy akarják. de abba van beleszólása a program írójának, hogy amikor fogyóban az erőforrás, akkor arra hogyan reagáljon a kernel, az oprendszer és a dns szerver. Most egy alap rendszeren úgy is reagálhat, hogy:
a./ a dns szerver kérne memóriát, de nem kap, ezért összeomlik
b./ a rendszermag látja a nagy memóriafoglalást és kivágja a processzt
c./ egyéb nem meghatározott módonde ha valaki felkészül a ddos-ra, akkor változtathat ezen.
-
#28
huskydog17
addikt
huskydog17
addikt
Én is nagyon szépen köszönöm a cikket, valóban nagyon értékes és hiánypótló!
-
kpityu2
addikt
sokkal egyszerűbb olyan dns szervert írni, ami bírja.
Ezt hogy érted? Ahogy a cikk is kifejti, minden kapacitás véges, tehát kimeríthető.
Ami a domén-> ip összerendelést illeti, alig hinném, hogy egy IP-re olyan sok domén lenne regisztrálva általánosan. Azonkívül elég a változásokat kezelni, az új adatokat letárolni átmeneti tárolóban, és időszakonként összefésülni a régivel. Nem gondolom, hogy az egész folytonosan változik, és állandóan írogatni kellene.
-
bambano
titán
csakhogy téged nem az ip->domain név összerendelés érdekel, hanem a domain név->ip összerendelés. egyrészt erre felső korlátot adni nehéz, mivel simán lehet akár több száz domain neve is egy gépnek, másrészt ezt karban tartani teljes adatbázis szintjén nagyobb munka, mint amennyit ér, jó esetben lehetetlen.
-
kpityu2
addikt
Azon elmélkedem, hogy a sima IP tartomány ami ugyebár mostanában fogy el 255x255x255x255 címet tartalmaz. Ha egy domén név max. 255 karakter hosszú, akkor az összes név tárolásához kb. 1 TB hely kell. Jó, mondjuk 4 TB.
Ez nem nagy hely, egy ISP szolgáltató simán tárolhatja az összes címet, csak a változások rögzítését kell kezelni. Vagyis ha nincs a gyorsítótárban, és nem éri el a root DNS-t, még mindig rápróbálhat a rendszeresen frissített "archívumra". -
icons
addikt
2 dolog:
- Úgy tudom, volt már egyszer egy támadás a root szerverek ellen, amikor még 7 volt belőlük. És azt hiszem, 4et sikerült is megbénítani. A megbénítottak számában nem vagyok biztos, és természetesen ezt ma jóval nehezebb lenne kivitelezni gondolom a jóval fejlettebb gépeknek (tűzfalaknak, stb) köszönhetően- Úgy tudom a nameserverek (ISPé pl) csak bizonyos ideig tárolják a feloldott címeket (hiszen nekik is véges memóriájuk van), utána gondolom megint lekérdezik a root-tól. Talán... ez az idő 1ms től 1napig terjedhet (nem biztos ez sem
), ez nem jelenthet gondot? Nyilván csak akkor jelentkezhet jelentős probléma, ha mind a 13szervert két vállra tudják fektetni.Egyébként grat az íráshoz, nagyon korrekt darab, érthető, és ha valahol volt valami, amit leegyszerűsítettél, akkor azt jelezted!
-
#15
kiskaktusz
addikt
kiskaktusz
addikt
Jó írás, mert nem olyan tömény a laikusoknak!
Köszi! -
#14
fondorlatos
aktív tag
fondorlatos
aktív tag
Jó cikk. Köszönet a közérthető leírásért!
-
Geller72
veterán
..még nem látni semmit..de nem is hiszem, hogy lenne valami. Kivitelezhető lenne a dolog, de nem pont így. Az Anycast megfogná a javát. Ez az első, amit bevédenek, és folyamatosan monitoroznak.
-
Grat! Nagyon érthető és informatív lett.
Amúgy a botnetnek nem pont az a lényege, hogy egyszerre sok címtartománnyal támad?
De egyébként még ez sem olyan lényeges, hiszen még egy kisebb kiesés sem jár katasztrófával
Új hozzászólás Aktív témák
Hirdetés
- Azonnali készpénzes AMD Radeon RX 5000 sorozat videokártya felvásárlás személyesen / csomagküldéssel
- 137 - Lenovo Legion Pro 7 (16IRX9H) - Intel Core i9-14900HX, RTX 4080
- ÁRGARANCIA! Épített KomPhone Ryzen 5 7600X 32/64GB DDR5 RTX 5060Ti 8GB GAMER PC termékbeszámítással
- Bomba ár! Dell Latitude 5430 - i7-1255U I 16GB I 512SSD I HDMI I 14" FHD I Cam I W11 I NBD Garancia!
- LG 27GR95UM - 27" MiniLED - UHD 4K - 160Hz 1ms - NVIDIA G-Sync - FreeSync Premium PRO - HDR 1000
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest