- Samsung Galaxy A52s 5G - jó S-tehetség
- Android alkalmazások - szoftver kibeszélő topik
- Szerkesztett és makrofotók mobillal
- Samsung Galaxy S21 FE 5G - utóirat
- Netfone
- Mobil flották
- Redmi Note 13 Pro 5G - nem százas, kétszázas!
- Honor Magic5 Pro - kamerák bűvöletében
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Poco F5 - pokolian jó ajánlat
Hirdetés
-
Feltűnt a dél-koreai hitelesítésen a PlayStation VR2 PC adaptere
ph A Sony közel lehet a starthoz, így a VR headsetjük hamarosan PC-vel is használható lesz.
-
Biztonsági tanácsot és újabb áttörést ígér az OpenAI
it Nem csak biztonsági tanácsot állított fel az OpenAI, de egy új, áttörést ígérő AI-modell tréningezését is elindította.
-
Mortal Kombat 1 - Így harcol Homelander
gp A The Boys karakter a tervek szerint napokon belül már elérhető lesz a játékban.
Új hozzászólás Aktív témák
-
veterán
Gratula. Nagyon jó, érdekes cikk.
Köszönjük.
Addig gyorsítottuk a világot míg mi magunk maradtunk le...
-
R.Zoli
őstag
Jó cikk grat
-
pechman8
aktív tag
Én is csak gratulálni tudok a cikkhez. Még én is megértettem.
Saját korlátaimból nem léphetek ki, mások adottságaiba nem léphetek be.
-
OC
őstag
Egyértelmű, érthető, aktuális.
Köszönjük!
-
őstag
tisztán megfogalmazott, szakmai, mégis közérthető.
csak így tovább. -
nagyúr
Jó cikk, de ntchosting-os linkedbe írd kicsivel a dns-t, mert így 404-es.
[ Szerkesztve ]
-
Grat! Nagyon érthető és informatív lett.
Amúgy a botnetnek nem pont az a lényege, hogy egyszerre sok címtartománnyal támad?
De egyébként még ez sem olyan lényeges, hiszen még egy kisebb kiesés sem jár katasztrófávalMutogatni való hater díszpinty
-
malwy
senior tag
http://vanenet.hu/
-
Geller72
veterán
..még nem látni semmit..de nem is hiszem, hogy lenne valami. Kivitelezhető lenne a dolog, de nem pont így. Az Anycast megfogná a javát. Ez az első, amit bevédenek, és folyamatosan monitoroznak.
[ Szerkesztve ]
-
Pocok256
veterán
Jó cikk lett grat
HODL $GME, DIAMOND HANDS, APES STRONG TOGETHER
-
fondorlatos
aktív tag
Jó cikk. Köszönet a közérthető leírásért!
-
kiskaktusz
addikt
Jó írás, mert nem olyan tömény a laikusoknak! Köszi!
"Don't try to understand women... ...women understand women and they hate each other."
-
icons
addikt
2 dolog:
- Úgy tudom, volt már egyszer egy támadás a root szerverek ellen, amikor még 7 volt belőlük. És azt hiszem, 4et sikerült is megbénítani. A megbénítottak számában nem vagyok biztos, és természetesen ezt ma jóval nehezebb lenne kivitelezni gondolom a jóval fejlettebb gépeknek (tűzfalaknak, stb) köszönhetően- Úgy tudom a nameserverek (ISPé pl) csak bizonyos ideig tárolják a feloldott címeket (hiszen nekik is véges memóriájuk van), utána gondolom megint lekérdezik a root-tól. Talán... ez az idő 1ms től 1napig terjedhet (nem biztos ez sem), ez nem jelenthet gondot? Nyilván csak akkor jelentkezhet jelentős probléma, ha mind a 13szervert két vállra tudják fektetni.
Egyébként grat az íráshoz, nagyon korrekt darab, érthető, és ha valahol volt valami, amit leegyszerűsítettél, akkor azt jelezted!
[ Szerkesztve ]
-
kpityu2
őstag
Azon elmélkedem, hogy a sima IP tartomány ami ugyebár mostanában fogy el 255x255x255x255 címet tartalmaz. Ha egy domén név max. 255 karakter hosszú, akkor az összes név tárolásához kb. 1 TB hely kell. Jó, mondjuk 4 TB.
Ez nem nagy hely, egy ISP szolgáltató simán tárolhatja az összes címet, csak a változások rögzítését kell kezelni. Vagyis ha nincs a gyorsítótárban, és nem éri el a root DNS-t, még mindig rápróbálhat a rendszeresen frissített "archívumra".[ Szerkesztve ]
Okos mérnök a hülyeséggel is kalkulál. Avagy, a "Figyelj oda jobban" tábla nem munkavédelmi eszköz....
-
bambano
titán
a zóna feljogosított kezelője mondja meg, mennyi ideig tárolhatja a dns cache az adatot. de ez egy olyan kérdéskör, amit kihagytam, mert ekkora cikkben nem fér el a primary-secondary viszony és a cache kezelés elemzése.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
csakhogy téged nem az ip->domain név összerendelés érdekel, hanem a domain név->ip összerendelés. egyrészt erre felső korlátot adni nehéz, mivel simán lehet akár több száz domain neve is egy gépnek, másrészt ezt karban tartani teljes adatbázis szintjén nagyobb munka, mint amennyit ér, jó esetben lehetetlen.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
jerry311
nagyúr
2002-ben es 2007-ben is rendelkezesre allt mar a technologia, amivel meg lehetett volna vedeni ezeket a szervereket egy tulterheleses tamadastol
Szemelyes velemenyem, hogy eleve nem engednek oda forgalmat csak megbizhato forrasbol.
-
#92942848
törölt tag
végre egy normális irás.
-
kpityu2
őstag
sokkal egyszerűbb olyan dns szervert írni, ami bírja.
Ezt hogy érted? Ahogy a cikk is kifejti, minden kapacitás véges, tehát kimeríthető.
Ami a domén-> ip összerendelést illeti, alig hinném, hogy egy IP-re olyan sok domén lenne regisztrálva általánosan. Azonkívül elég a változásokat kezelni, az új adatokat letárolni átmeneti tárolóban, és időszakonként összefésülni a régivel. Nem gondolom, hogy az egész folytonosan változik, és állandóan írogatni kellene.
Okos mérnök a hülyeséggel is kalkulál. Avagy, a "Figyelj oda jobban" tábla nem munkavédelmi eszköz....
-
huskydog17
addikt
Én is nagyon szépen köszönöm a cikket, valóban nagyon értékes és hiánypótló!
Gameplay csatornám: https://www.youtube.com/channel/UCG_2-vD7BIJf56R14CU4iuQ
-
bambano
titán
de, az egész folyamatosan változik. nézd meg a dns-ben, hogy mennyi a cache-elési idő, van, hogy pár óra. most képzeld el, hogy vidéki vállalat vett 4 megás adsl-t, rárakott egy gagyi pc-t szervernek és ezen a 4 megán kellene neki folyamatosan frissítenie x tera adatbázist. lehetetlen.
az igaz, hogy a véges erőforrás egyszer elfogy, ha csúnya bácsik úgy akarják. de abba van beleszólása a program írójának, hogy amikor fogyóban az erőforrás, akkor arra hogyan reagáljon a kernel, az oprendszer és a dns szerver. Most egy alap rendszeren úgy is reagálhat, hogy:
a./ a dns szerver kérne memóriát, de nem kap, ezért összeomlik
b./ a rendszermag látja a nagy memóriafoglalást és kivágja a processzt
c./ egyéb nem meghatározott módonde ha valaki felkészül a ddos-ra, akkor változtathat ezen.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
icons
addikt
De akkor ha direkt nem állítják nagyobbra a chache tárolási időt, akkor ez is okozhat problémát? (tehát hiába van meg a pl gyakran használt FB IP címe a zóna kezelőjének, hogyha azt frissítenie kell, és nem tudja)
Ergó: HA sikerülne kilőni mind a 13root szervert (ami nem fog sikerülni, csak elméleti síkon kérdezem!), akkor emiatt borulna minden a bilibe? (hacsak nem állítanák be, hogyha nem éri el a root szervert, akkor az eddigi IPt használja a domainhez pl)
-
bambano
titán
elvileg okozhatna, de a root dns-ben lehet magas a cache-elési idő, mert új tld-t évek hosszú vitája után vezettek csak be eddig, ott nincs értelme alacsony időt használni. Viszont egy tld-ben meg igen, mert ott gyakran változik a tartalom. A root dns-ek támadása csak az előbbit ütné le.
Szerk: szerintem azt nem lehet beállítani, hogyha nem tudja elérni a szervert, akkor az eddigi ip-t használja, mert a cache bejegyzést a ttl lejárta után eldobja és a protokollban nincs benne, hogy ha ddosolják a root szervert, akkor mégse dobja el.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
icons
addikt
Igaz, igaz, de ha másik tld-ben levő címet szeretnél elérni, akkor nem tudsz eljutni hozzá, mert a root nem mutatná meg, merre kérdezősködj tovább.
Jaigen, alapból szerintem se, valami olyasmire gondoltam ,hogy esetleg lehetne olyat, hogy egy programmal folyamatosan átírják a cache időt. De nem tudom, ez mennyire kivitelezhető (átírni configból egy cahce bejegyzés ttl-jét), meg ez sokkal több munkával járna, mint amennyit bárki szívesen megcsinálna
-
bambano
titán
ha olyan tld-ről van szó, amit ritkán használnak, akkor bukta, de ez benne van a posztban is.
a cache idő felülbírálata konfigurációs szinten nem szerepel tudtommal a dns szerverben, vagyis úgy tudnád módosítani, hogy leállítod a dns rezolvert, átírod adatbázis szinten a cache-t és újraindítod. ez gyakori és relatíve nagy szolgáltatáskieséssel járhat. nem éri meg.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
őstag
Tiszta, egyszerű, de remek írás!
"Önérzetem van, de hülye azért nem vagyok!"
-
gabesz78
tag
Tényleg érdekes, és szerintem annak is könnyen emészthető aki a DNS-t csak dezoxiribonukleinsavként ismeri!
Gratulálok a cikkhez!"Elképzelhető, hogy a Computerek a jövőben nem nyomnak majd többet 1,5 tonnánál." (1949, Popular Mechanics)
-
-
Vladi
nagyúr
"alig hinném, hogy egy IP-re olyan sok domén lenne regisztrálva általánosan."
Micsoda? Hát dehogynem. Kicsi webszerver szolgálatátó cégeknél 1 szerverre jut vagy... többszár. Szóval de, rengeteg is juthat.szerző: köszi a cikket. Ami a végét illeti szerintem megpróbálták, és nem sikerült, pont ezért.
Nem félünk! Nem félünk! Itthon vagyunk e földön. Nem félünk! Nem félünk! Ez nem maradhat börtön!
-
BatchMan
senior tag
Azt kérdezném, hogy ha tűzfalom fogod meg DDOS-t, azzal a szervert tehermentesíted, de a sávszélességét ígyis-úgyis bitorolja - vagyis a szerver nem elérhető. DDOS-t fenntartani macerás lehet, utána visszaáll minden. Ugye?
-
jerry311
nagyúr
Ez attol fugg milyen vonalon megy.
Lattam en mar 8 Gbps DDOS-t is, ami nem okozott problemat.
Csak azt eredmenyezte, hogy addig soha nem latott 20%-os terheles volt a 4x10 Gbps uplinken.
Jo helyen kell megfogni es akkor el sem er odaig, ahol mar szuk lenne a savszelesseg.Tavaly nyaron voltam benne egy ilyen kezdemenyezesben, ahol tobb nagy (egesz europaban szolgaltato) ceg osszeallt, hogy kozosen lepjenek fel a DDOS ellen. Ennek eredmenye az lesz, hogy a szovetseg halozataira kiterjedo hataron fogjak majd meg a nem kivanatos forgalmat. Kivancsi leszek valaha osszeall-e...
-
jerry311
nagyúr
Na modnjuk ezzel pont jol beszo... mert a csodalatos szolgaltatom csak 1 db DNS szerver IP cimet ad meg. (hogy most emogott 1 vagy tobb szerver van az mas kerdes, a tapasztalatok alapjan gyakorlatilag lenyegtelen).
Ket hete szombaton orakon at elerhetetlen volt, azota van bent masodlagos szervernek a 8.8.8.8.Idealis esetben persze hogy az lenne a jo, de hat nagy forgalomra anomaly detection vagy eppen IPS/IDS az draga igy nem lehet mindenhova tenni. Szerencsere a szolgaltato(k egy resze) szeretne megvedeni a halozatat a felesleges forgalomtol, ezert szaporodnak a halozataik hataran az ilyen eszkozok. Sajnos csak lassan.
-
jerry311
nagyúr
Ez persze nem zarja ki, hogy halozaton belul is vedd az 'ertekesebb' eroforrasokat. Lehet hogy elbirjak az eszkozok, mint ahogy nekunk is rohogve tolta tovabb a layer3 switch a 8 Gbps-t, de jobb ha mar a sajat halozatod hataran megallitod a forgalmat az jo. Eggyel tobb vedelmi vonal.
-
bambano
titán
persze, de egy hozzáférés-szolgáltatónál nincs bent semmi, amit támadni lenne érdemes, tehát minek is támadna? kívülről értelmetlen támadni, belülről meg nem a határvédelem védi a szervereket.
egy indexet vagy guglit érdemes határon védeni, mert szakmai szempontok szerint oda volna értelme ddost tolni. de hogy nálam ledosolják az ezer éve nem frissített webszervert... hát biztos siratóasszonyok özöne tépné magáról a ruhát, hogy nem tudja letölteni az ászf-et meg a tavalyi rendelkezésre állási jegyzőkönyvet...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
kukif
csendes tag
bombano szép cikk grat. Viszont anycast-ről írhattál volna, jelen esetben ez a lényeg.
Akit esetleg érdekel a DNS hierarchia itt http://deneb.iszt.hu/~pasztor/dnslap.html olvashat Pasztor Miklós (ns.nic.hu hozzá köthető) kolléga leírását.
Valamint nálunk is van egy root szerver a K http://k.root-servers.org/[ Szerkesztve ]
-
bambano
titán
a cikk témája az volt, hogy átlag felhasználóra milyen hatással van, ha borul a root szerver. ebbe az, hogy mitől nem borul a szerver, nem tartozik bele.
Nem emlékszem, hogy régebben Pásztor Miklóshoz mennyire volt köthető az ns.nic.hu, de Miki már évek óta egyetemen dolgozik, nem a sztakiban. KIssG-nek, emlékeim szerint, több köze volt hozzá.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Csongeee10
tag
Sziasztok.
Miért van szükség másodlagos DNS szerverre? -
kukif
csendes tag
válasz Csongeee10 #51 üzenetére
Ha az elsődleges meghal legyen másik.
-
zoka.
tag
Jó 2 évvel a cikk után én is beleszólnék
Mint a végén írtad tűzfalon simán kitakarítanád azokat a címeket, ahonnan sok kérés jön. Ezzel tehermentesíted a root servert, oké. De mivel kilőttél rengeteg ip-címet, azokról nem lehet elérni a root servereket, ergo elérték a céljukat, részben lebénul az internet.
Szerintem elég nagy biztonsági +-t adna, ha rendszergazdai beavatkozásra egyszerűen meg lehetne tartani a cache-ben tárolt rekordokat, vagy akár beszerezni más serverek cache-eiből is. Ezzel gyakorlatilag az internet főbb használt részét függetleníteni lehetne a root serverektől, amíg helyre nem állnak.
Mert akkor jelen helyzetben, ha egy nagyon jól szervezett katonai támadással lebombárnák megsemmisítenék az összes root servert, pár napon belül megállna az élet, cache kiürül, rendszer meghal. Igen tudom egy ilyenre kb 0% az esély, de elméletben lehetséges. Míg ha meg lehetne állítani a cache törlését, akkor az akár többmillió gépet kiütni már tényleg lehetetlen.Elgondolkodva, én nem innen közelíteném meg a témát.
Teljesen kifektetni nem lehet, de legalább akkora galibát okozna, ha rossz IP-címet dobna vissza.
Tehát valahogy a root serverekben kéne kicsit átrendezni a rekordokat, ez szépen lemásolódik a cache-be és mire észbekap a jónép már nincs az a gép, ami tudja mindenre a helyes feloldást. (Persze ott vannak a mentések stb, de helyreállítani idő.)
Ehhez nem a nyers erő, hanem inkább a logika kell. Egyszerre 13 különböző rendszerbe betörni. Ez sem könnyű feladat, de szerintem jobban kivitelezhető.
Új hozzászólás Aktív témák
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Mibe tegyem a megtakarításaimat?
- Politika
- Debrecen és környéke adok-veszek-beszélgetek
- Autós topik látogatók beszélgetős, offolós topikja
- Milyen billentyűzetet vegyek?
- LEGO klub
- Autós topik
- Samsung Galaxy A52s 5G - jó S-tehetség
- Android alkalmazások - szoftver kibeszélő topik
- További aktív témák...
- Kerékpár matrica a legjobb minőségben azonnal! PH tagoknak 30% kedvezmény!
- IPHONE SE 2022 ( 3.gen) 64GB 100% akku, független, üzletből, garancia
- Autómatrica és prémium minőségű matricák PH tagoknak 30% kedvezménnyel!
- HP ProBook 640 G4 szép állapotban, i5-8250U , HU világítós billentyű
- MICROSOFT SURFACE Go - Pentium 4415Y/8GB/256SSD/CAM/INTEL/10.1"/1800x1200TS/
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Promenade Publishing House Kft.
Város: Budapest