Рубрика «BIND»

OpenSSH против SSH - 1
Рис. 1. Разные реализации SSH, источник: Shodan

Формально протокол SSH определён в ряде стандартов RFC (список ниже). В то же время есть много реализаций этого протокола. OpenSSH — самая популярная из них, хотя не единственная. Например, вот альтернативная реализация SSH на Goнесколько примеров кастомных серверов на её основе). По статистике Shodan, вторым по популярности демоном SSH является Dropbear SSH (рис. 1). Все остальные далеко позади, если судить по количеству адресов на порту 22.

На практике спецификации OpenSSH содержат в себе все стандарты RFC для SSH, включая черновики, а также немножко сверх этого.Читать полностью »

Сетевой стек TCP/IP не в одночасье стал паутиной, соединившей интернет от края до края. Вся система развивалась довольно бурно, противоречиво, но в целом через инкрементальные усовершенствования в разных местах. Не было какого-то единого плана создания глобальной коммуникационной сети и подходящего под эти цели стека протоколов. Из-за этого вместо сферической семиэтажной OSI в вакууме в наличие у нас есть причудливое смешение технологий и протоколов, где стандарты, написанные в 1970-х всё ещё живы, лягаются и даже обеспечивают нагрузкой ваши боевые сервера.

The less popular 8.8.4.4 is slated for discontinuation
Figure 1. Комикс xkcd на злобу дня

Всё это в полной мере относится к подсистеме разрешения имён, aka name resolving, и DNS, как современной и наиболее полноценной реализации этой ключевой технологии. В качестве такового DNS пережил разнообразных саблезубых тигров и археоптериксов вроде YP/NIS/NIS+ эпохи накопления битов, вследствие чего в нём набралось немало артефактов и пасхальных яиц. Иногда их обнаруживают случайно при раскопках с помощью dig, но есть также и новые, нестандартные применения старого механизма.Читать полностью »

Об игре

Club Bing — это набор игр, в которые можно было играть в 2007-2012 годах. Все игры были связаны со словами, в них нужно было играть онлайн, чтобы зарабатывать очки, которые можно было тратить в онлайн-магазине для покупки призов. Одна из игр называлась Chicktionary. Цель игры: использовать 7 слов, чтобы составить как можно больше слов.

Однажды Microsoft забанила всю мою страну за читерство - 1

Буквы, которые можно использовать, указаны внизу, а слова, которые нужно составить — это маленькие яйца сверху. Всегда есть одно слово из семи букв.

В первые дни после выпуска этих игр можно было заработать множество призов. Хотя сайт позволял получать на один адрес только один приз, можно было запросто добавить номер квартиры к адресу собственного дома и создать множество уникальных адресов:

  • 123 Main St. Apt #1, Anywhere, YZ, USA
  • 123 Main St. Apt #2, Anywhere, YZ, USA
  • 123 Main St. Apt #3, Anywhere, YZ, USA

Очевидно, наилучшим соотношением стоимости к очкам обладал контроллер XBox, поэтому можно было оставить компьютер набирать очки на нескольких аккаунтах, а затем тратить все очки на покупку контроллеров. На одном форуме был пост с фотографией парня, получившего почтой примерно 100 контроллеров за один день. Он сразу же выложил их на Ebay и продал.Читать полностью »

image

В этой статье мы рассмотрим, как писать чистый, легко тестируемый код в функциональном стиле, используя паттерн программирования Dependency Injection. Бонусом идет 100% юнит-тест coverage.

Читать полностью »

Названы сайты, которые могут отключиться в Рунете с 1 февраля - 11 февраля 2019 года наступит DNS Flag Day: будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound. Они начнут принимать только трафик, соответствующий стандарту EDNS (RFC 6891). Трафик со старых и необновлённых серверов будет рассматриваться как нелегитимный и эти сервера перестанут обслуживаться, что может привести к недоступности сайтов, которые находятся на этих серверах.

Для большинства обычных сайтов DNS Flag Day пройдёт незамеченным. Если они размещаются на популярных хостингах. Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, предупреждает Cisco.

Вчера Институт развития интернета перечислил сайты, которые могут отключить в Рунете с 1 февраля. По состоянию на декабрь 2018 года 104 DNS-сервера в доменных зонах .ru и .рф не готовы к DNS Flag Day, говорится в исследовании.
Читать полностью »

Критическая уязвимость механизма аутентификации BIND позволяет похищать и изменять DNS-записи серверов - 1

В популярном DNS-сервере BIND обнаружена критическая уязвимость. Ее эксплуатация позволяет злоумышленнику получить корректную подпись для произвольных данных и с помощью этой подписи вносить в него изменения или получать список всех DNS-записей сервера (dns zone transfer attack).Читать полностью »

Уязвимость BIND позволяет «уронить» любой сервер: как и почему это работает - 1

Почти месяц назад, 11 января 2017 года, разработчики наиболее популярного DNS сервера с открытым исходным кодом BIND выпустили исправления для четырех новых уязвимостей, которые позволяют удаленному атакующему аварийно завершить работу DNS сервера. В числе уязвимостей присутствует CVE-2016-9147, о которой далее пойдет речь. Атака не требует специальных условий кроме необходимости злоумышленнику видеть исходящий от уязвимого сервера трафик.

Мы задались целью создать правила (NAD) для обнаружения эксплуатации данных уязвимостей по сети — чтобы это сделать, нам пришлось глубже разобраться с кодом BIND и написать собственные эксплоиты. Наш разбор поможет понять, как все устроено внутри столь популярного DNS-сервера, а также узнать о просчетах, допущенных разработчиками проекта, и возможных решениях этих проблем.Читать полностью »

Критические уязвимости DNS-сервера BIND позволяют удаленно отключать его и проводить DoS-атаки - 1

В популярном DNS-сервере BIND обнаружены критические уязвимости. Их эксплуатация может открывать злоумышленникам возможности для проведения DoS-атаки а также удаленно останавливать его работу. Информация об уязвимостях была опубликована специалистами компании ISC, под лицензией которой распространяется программное обеспечение BIND.Читать полностью »

Вебинар Крикета Ли — (со)автора книг о DNS и Bind. Безопасность DNS: угрозы и решения, Best Practices DNS — один из важнейших сетевых сервисов, о безопасности, надежности и производительности которого часто забывают. По количеству атак DNS находится на втором месте после HTTP/HTTPS, и только за последний год число атак возросло на 216%.
Крикет Ли — автор и соавтор книг о DNS и Bind — проведет вебинар о безопасности DNS. Будут рассмотрены основные угрозы сервису (DDoS, cache poisoning, tunneling, amplification и т.д.) и предложены рекомендации по защите.

Вебинар пройдет 28 Августа 2014г. в 20:00 по московскому времени.
Зарегистрироваться можно Читать полностью »

По мере роста количества доменов, размещённых на моём сервера на Hetzner, меня всё чаще стала посещать мысль об использовании своего собственного dns-сервера вместо серверов имён провайдера.

Среди плюсов подобного решения—гибкость, удобство и экономия (правда небольшая), в среди минусов—низкая надёжность, ибо если ложится сервер то ложатся и зоны со всеми соответствующими последствиями не только для самого сервера но и для всех сторонних сайтов, чьи зоны вы хостите.

Ну а поскольку на сервере кроме dns работает ещё стопицот разных сервисов, да и руки у меня растут хотя и выше одного места, но всё же не слишком уж высоко, то сервер у меня ложится пару раз в год точно. :( Выход, разумеется, в организации физически отдельного вторичного сервера имён (что собственно и предусмотрено технологией dns).

В этой статье я хочу рассмотреть организацию такого сервера на базе облачного сервиса Amazon EC2, учитывая что всем новым аккаунтам Amazon позволяет год работать бесплатно (для micro-экземпляров):

Установка вторичного сервера имён на Amazon EC2 бесплатно

Поехали!

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js