Как работает днс 30 октября 2021
Перейти к содержимому

Как работает днс 30 октября 2021

  • автор:

Как работает ДНС с 30 октября по 7 ноября 2021? Что известно?

Как работают пункты выдачи ДНС с 30 октября по 7 ноября 2021? Что известно?

Работает ДНС или нет?

комментировать
в избранное
88Sky­ Walke­ r88 [465K]
2 года назад

«ДНС» — это один из крупнейших сетевых магазинов, в котором можно приобрести технику, электронику другие товары для дома.

Магазин хорош тем, что у него также есть интернет-магазин, в котором можно сделать заказ. Во время нерабочей недели пункты выдачи заказов ДНС будут работать в обычном режиме, конечно, с соблюдением всех правил безопасности.

Но следует учесть, что те пункты выдачи, который расположены в крупных торговых центрах, работать во время нерабочей недели не будут, так как все торговые центры закрыты.

Магазины ДНС, которые находятся не в торговых центрах, работают по обычному графику.

система выбрала этот ответ лучшим
комментировать
в избранное ссылка отблагодарить
Точно в цель [116K]
2 года назад

Недавно я был в сети магазинов «ДНС» и брал товар, который не подошел по техническим характеристикам. Доброжелательные продавцы ДНС мне сказали, что я смогу его сдать даже до 7 ноября. Дело в том, что сети магазинов ДНС не закрываются, магазины будут работать.

В качестве доказательства (ибо я Фома неверующий и понимаю, что они могут и обмануть) они показали мне приказ, который я любезно сфотографировал.

Оказывается, ДНС — системообразующее предприятие, которое на время локдауна не закрывается.

Позвонил на горячую линию ДНС — мне подтвердили эту информацию, что все магазины сети будут работать в обычном режиме.

UPD. Обновление ответа от 03.11.21. К сожалению, многие магазины ДНС все-таки закрылось. Не очень понятно, почему в ДНС говорят одно, а делают совершенно по-другому. Так, например, у нас в городе из 15 представленных магазинов сети открыто только 3. Они работают только как пункт выдачи товаров до 7 ноября. Тем не менее, непонравившийся в пункте выдачи до 7 ноября сдать можно.

Преодоление блокировки в ТТК (Транстелеком) при помощи pf

Все хорошо, но можно ли обойтись без упоминания в правилах адресов/ссылок на заблокированные ресурсы? Как изменится поведение фильтра без первого правила?

Всего голосов 4: ↑2 и ↓2 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
Спасибо. Поправил.
Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Очевидно, это новое знание требует добавления в GoodbyeDPI.
Всего голосов 2: ↑2 и ↓0 +2
Ответить Добавить в закладки Ещё

Ну молодец. Умный умный. А никто и не знал. Только вот узнал такое и сидеть надо тихо, чтобы не портить другим людям.

Всего голосов 17: ↑0 и ↓17 -17
Ответить Добавить в закладки Ещё

taurusbusy у вас в Ульяновске ТТК тоже не дает использовать Google DNS?

В Питере вместо Google DNS, резолвит через те же:

BL-gw.transtelecom.net
Filter-gw.transtelecom.net

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
Это работает в ТТК, гугл не нужен, и бонусом резолвит зоны типа lib где много полезных зеркал.
Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
У нас Google DNS так же заворачиваются на Filter-gw, но ответы не подменяются:

# host rutracker.org rutracker.org has address 195.82.146.214 rutracker.org has IPv6 address 2a02:4680:22::214 rutracker.org mail is handled by 5 mail.rutracker.org. # host rutracker.org 8.8.8.8 Using domain server: Name: 8.8.8.8 Address: 8.8.8.8#53 Aliases: rutracker.org has address 195.82.146.214 rutracker.org has IPv6 address 2a02:4680:22::214 rutracker.org mail is handled by 5 mail.rutracker.org. 

Первый запрос ходит не через провайдерский DNS, а через unbound с такой записью:

forward-zone: name: "rutracker.org" forward-addr: 77.88.8.8 forward-addr: 193.58.251.251

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

Хорошо, что пока еще не подменяют ничего.

Спасибо за ответ

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

да все ТТК-улн подменяет
[evk:prtech:~]>host rutracker.org
rutracker.org has address 62.33.207.197
rutracker.org has address 62.33.207.196
rutracker.org has IPv6 address 2a00:1e48:99:6::2:2
rutracker.org has IPv6 address 2a00:1e48:99:6::2:3
[evk:prtech:~]>host rutracker.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:

rutracker.org has address 195.82.146.214
rutracker.org has IPv6 address 2a02:4680:22::214
rutracker.org mail is handled by 5 mail.rutracker.org.

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

Совершенно верно, если выставлены провайдерские DNS, то картина, возможно, именно такая. Но ТТК не подменяет ответы от других публично доступных DNS-серверов, а уж разрулить запросы по форвардерам умеет любой кеширующий DNS, будь то unbound, bind или др. Разумеется, удобнее всего делать это на границе подконтрольной вам сети, например, на домашнем роутере.
Для борьбы с подменой вообще всех DNS-ответов существует dnscrypt.

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё

Интересно, спасибо. Только это не DPI. Он бы таким не занимался. На самом деле схема эта очевидная и работает банально на случае, кто быстрее ответит. На маршрутизаторе оператора зеркалится трафик на небольшой сервачок и если система увидит запрос к ресурсу из списка — она вот такое вытворяет. Пакет от заблокированного ресурса вам наверное прилетит, только вы его уже не будете ждать.
Что будет, когда списки вырастут ещё больше — сложно представить. Мы у себя внедряли такое (шибко подробностей не знаю, другой отдел), и налетали на штрафы от ркн за пропуски больше допустимого процента — банально система не успевала срабатывать в ответ на запросы ревизора от ркн. В итоге мы их перепробовали несколько и на чём то остановились по результатам тестов. Но принцип у них у всех один и тот же. Иначе это должна быть железка, через которую надо пропускать весь пиринг с операторами — а это совсем дорого уже только по железу, не говоря уже о софте и внедрение.

Для подстраховки оператор может организовать для ревизора лаг на секундочку, что б наверняка )) но мы без этого обошлись естественно (иначе нафиг на такую систему блокировки тратить деньги).

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

Пакет от заблокированного ресурса вам наверное прилетит, только вы его уже не будете ждать.

После провайдерского FPA ни ACK, ни HTTP-ответ от заблокированного ресурса уже не приходят. Специально tcpdump-ом искал их на внешнем интерфейсе роутера.

На маршрутизаторе оператора зеркалится трафик на небольшой сервачок и если система увидит запрос к ресурсу из списка — она вот такое вытворяет.

ЕМНИП трафик зеркалируется только для СОРМа, блокировки каждый провайдер реализует в меру своих технических возможностей. У ТТК возможностей хоть отбавляй, поэтому не удивлюсь, если они под свой DPI зарегистрировали отдельную AS и глобально сливают туда весь трафик к заблокированным ресурсам. Для них — это проще всего.

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

Пообсуждали с коллегой. Стало понятно (мне), что принцип хоть и одинаков (или сильно похож), но методы и алгоритмы действия при этом у каждого продукта «фильтрации» свои. Тут мы правды не найдём, хотя бы потому, что никто из нас не знает, как оно у ТТК на самом деле (особенно в обособленном бизнесе в той локации). Да и тема не моя.

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
У меня такой же провайдер, на роутере openwrt, всего одно слово ipv6.
Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
ipv6 не спасает от подмены DNS, я выше привел резолвинг через DNS ТТК
Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

В моем случае спасает. Все запросы на любые ipv4 dns сервера перехватываются провайдером и подменяются, а на ipv6 dns сервера, через туннель, не подменяются.
Правда я все равно пользуюсь dnscrypt для скрытия dns трафика от провайдера. Трафик через туннель хоть пока и не перехватывается, но идет в открытом виде, что, теоретически, не мешает начать его анализировать какими-нибудь dpi.
К тем провайдерам, которые предоставляют нативную поддержку ipv6 это, наверное, не относится.

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё

Не много не понятен механизм подделки Рутрекера — как в принципе можно подделать его IP да так, чтобы FPA принял клиент как за оргинальный?

Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий

Принцип атаки, осуществляемой ТТК, довольно подробно описан здесь (способ с TCP-битом RST). Т.к. ТТК является провайдером доступа в Интернет, то для него осуществлять подобный вид MITM-атаки не представляет никакой технической или организационной сложности.

Из-за чего Facebook стал глобально недоступен. Технический ликбез

Прим. перев.: в этой статье инженеры онлайн-сервиса Cloudflare весьма популярно объясняют, что именно (технически) произошло с недоступностью Facebook минувшим вечером (4-го октября 2021), а также затрагивают тему того, как этот сбой повлиял на более глобальные процессы в интернете.

«Разве Facebook может упасть?» — задумались мы на секунду…

Сегодня в 16:51 UTC (в 19:51 MSK — прим. перев.) у нас был открыт внутренний инцидент под названием «Facebook DNS lookup returning SERVFAIL» («DNS-поиск для Facebook возвращает SERVFAIL»). Мы решили, что это с нашим DNS-ресолвером 1.1.1.1 что-то не так. Однако к моменту размещения соответствующего обновления на публичной статус-странице стало ясно, что здесь что-то серьёзное.

Социальные сети уже разрывались от сообщений о том, что быстро подтвердили и наши инженеры: Facebook и связанные с ним сервисы WhatsApp и Instagram действительно упали. Их DNS-имена больше не ресолвились, а IP-адреса инфраструктуры были недоступны. Выглядело так, как будто кто-то буквально выдернул кабели разом во всех их дата-центрах, отключив от интернета.

Как такое вообще возможно?

Встречайте BGP

BGP — это «протокол граничного шлюза» (Border Gateway Protocol). Это механизм для обмена информацией о маршрутизации между автономными системами (AS) в интернете. У больших роутеров, благодаря которым работает интернет, есть постоянно обновляемые списки возможных маршрутов, используемых для доставки каждого сетевого пакета до мест их назначения. Без BGP интернет-роутеры не знают, что делать, и интернет просто не будет работать.

Интернет — это буквально сеть из сетей, связанных между собой с помощью BGP. BGP позволяет одной сети (скажем, Facebook) объявлять о своём присутствии другим сетям, которые в конечном счёте формируют весь интернет. На момент написания этой статьи Facebook не сообщал о своём присутствии, поэтому интернет-провайдеры (ISP) и другие сети не могут найти сеть Facebook — она недоступна.

У индивидуальных сетей есть свой ASN — номер автономной системы (Autonomous System Number). Автономная система (AS) — это индивидуальная сеть с унифицированной политикой внутренней маршрутизации. AS может порождать специальные префиксы (означающие, что они контролируют группу IP-адресов), а также транзитные префиксы (они знают, как добраться до определённых групп IP-адресов).

Например, ASN у Cloudflare — AS13335. Каждая ASN должна объявить интернету о своих prefix routes с помощью BGP. В ином случае никто не узнает, как к ней подключиться и где найти её.

В этой упрощённой схеме можно увидеть шесть автономных систем в интернете и два возможных маршрута, по которым один пакет может пройти от начала (Start) до конца (End). Самый быстрый маршрут — это AS1 → AS2 → AS3. Самый медленный — AS1 → AS6 → AS5 → AS4 → AS3; он используется в случаях, когда первый не срабатывает.

В 16:58 UTC мы заметили, что Facebook перестал анонсировать маршруты для своих DNS-префиксов. Это означало, что по меньшей мере DNS-серверы Facebook были недоступны. По этой причине DNS-ресолвер Cloudflare (уже упомянутый 1.1.1.1) не мог отвечать на запросы, требующие выдать IP-адрес для домена facebook.com или instagram.com.

route-views>show ip bgp 185.89.218.0/23 % Network not in table route-views> route-views>show ip bgp 129.134.30.0/23 % Network not in table route-views>

Хотя другие IP-адресы Facebook и имели маршруты в то же самое время, в них не было особого смысла, потому что DNS-службы Facebook и связанных сервисов были недоступны:

route-views>show ip bgp 129.134.30.0 BGP routing table entry for 129.134.0.0/17, version 1025798334 Paths: (24 available, best #14, table default) Not advertised to any peer Refresh Epoch 2 3303 6453 32934 217.192.89.50 from 217.192.89.50 (138.187.128.158) Origin IGP, localpref 100, valid, external Community: 3303:1004 3303:1006 3303:3075 6453:3000 6453:3400 6453:3402 path 7FE1408ED9C8 RPKI State not found rx pathid: 0, tx pathid: 0 Refresh Epoch 1 route-views>

Мы следим за всеми обновлениями и анонсами в BGP, какие появляются в глобальной сети. Собираемые таким образом данные позволяют увидеть глобальные связи в интернете и понять, откуда и куда должен ходить весь трафик.

UPDATE-сообщение от BGP информирует роутер о любых изменениях, сделанных в префиксе, или о полном отзыве этого префикса. Проверяя базу данных BGP, основанную на временных рядах, мы можем точно увидеть количество обновлений, поступивших от Facebook’а. Обычно этот график довольно ровный: Facebook не будет постоянно делать большое количество изменений для своей сети.

Но около 15:40 UTC был замечен резкий всплеск изменений в маршрутах Facebook’а. Именно здесь и начались проблемы.

Ещё лучше будет видно, что же произошло, если разбить этот график на анонсы маршрутов и их отзывы. Маршруты были отозваны, DNS-серверы Facebook ушли в offline, а минутой позже возникла проблема: инженеры Cloudflare сидели и недоумевали, почему 1.1.1.1 не может получить IP для facebook.com, обеспокоенные каким-то сбоем в своих системах.

После отзыва этих маршрутов Facebook и его сайты были отключены от интернета.

DNS тоже в деле

Прямым последствием этого события стала невозможность для DNS-ресолверов со всего мира получать IP для связанных с проектами доменных имён:

➜ ~ dig @1.1.1.1 facebook.com ;; ->>HEADER>HEADER>HEADER>HEADER

Это происходит по той причине, что в DNS, как и во многих других системах в интернете, используется свой механизм маршрутизации. Когда кто-то набирает https://facebook.com в веб-браузере, DNS-ресолвер, ответственный за перевод доменного имени в реальный IP-адрес для фактического подключения, сначала проверяет, есть ли что-то в его кэше. Если кэш есть — он используется. Если кэша нет — производится попытка получить ответ от DNS-сервера, обычно расположенного где-то поблизости.

Если DNS-серверы недоступны или не могут дать ответ по какой-то другой причине, возвращается ответ SERVFAIL, а браузер показывает пользователю ошибку.

Опять же, в онлайн-центре обучения Cloudflare есть хорошее объяснение, как работает DNS.

Из-за того, что Facebook перестал анонсировать свои DNS prefix routes через BGP, наш и любой другой DNS-ресолвер не мог подключиться к DNS-серверам проекта. Поэтому, 1.1.1.1, 8.8.8.8 и другие крупные публичные DNS-ресолверы начали выдавать (и кэшировать) ответы SERVFAIL.

Но это ещё не всё. Теперь в дело включается человеческий фактор и логика работы приложения, что в совокупности приводит к экспоненциальному эффекту. От пользователей обрушивается огромная волна дополнительного DNS-трафика.

Отчасти это происходит по той причине, что приложения не расценивают ошибку как подходящий пользователю ответ и начинают делать повторные запросы, причем иногда очень активно. А отчасти — потому что конечные пользователи тоже не воспринимают ошибку за правильный для них результат и начинают обновлять страницы, убивать/перезапускать свои приложения, порой тоже весьма активно.

Всё это привело к резкому росту трафика (по количеству запросов), что мы наблюдали на 1.1.1.1:

Из-за того, что Facebook и его сайты так популярны, мы получили 30-кратную нагрузку на DNS-ресолверы по всему миру, а это может вызывать задержки и таймауты для других платформ.

К счастью, 1.1.1.1 был создан как бесплатный, приватный, быстрый (убедиться в этом можно в DNSPerf) и масштабируемый сервис, так что мы продолжали обслуживать своих пользователей с минимальными проблемами.

Скорость ответов на подавляющую часть DNS-запросов оставалась в диапазоне менее 10 мс. В то же время небольшая часть перцентилей p95 и p99 показали повышенное время ответов — вероятно, из-за истекших TTL при обращении к DNS-серверам Facebook и вызванных таймаутов. 10-секундный таймаут для DNS — значение, которое пользуется популярностью среди инженеров.

Влияние на другие сервисы

Люди ищут альтернатив, хотят знать и обсуждать, что происходит. Когда Facebook упал, мы увидели растущее число DNS-запросов к Twitter, Signal и другим социальным сетям и платформам для обмена сообщениями.

Также недоступность проявилась в статистике по WARP-трафику от и к автономной сети Facebook’а (ASN 32934). Эта карта показывает, как трафик изменился в интервале с 15:45 UTC до 16:45 UTC по сравнению с тремя часами до этого в каждой стране. По всему миру WARP-трафик от и к сети Facebook практически исчез.

Интернет

Сегодняшние события служат мягким напоминанием о том, что интернет — это очень сложная и взаимозависимая система из миллионов систем и протоколов, взаимодействующих друг с другом. Доверие, стандартизация и кооперация между задействованными в нём организациями — ключ к его работоспособности для почти пяти миллиардов активных пользователей со всего мира.

Обновление

Около 21:00 UTC (полночь в MSK — прим. перев.) мы увидели новую BGP-активность в сети Facebook, пик которой пришёлся на 21:17 UTC:

График ниже показывает доступность DNS-имени 'facebook.com' на DNS-ресолвере 1.1.1.1. Она пропала около 15:50 UTC и вернулась в строй в 21:20 UTC:

Несомненно, сервисам Facebook, WhatsApp и Instagram ещё понадобится некоторое время, чтобы полностью вернуться в строй, но по состоянию на 21:28 UTC Facebook уже доступен в глобальном интернете, а его DNS снова функционирует.

P.S. от переводчика

Читайте также в нашем блоге:

  • «Post Mortem по масштабному сбою Amazon Kinesis в US-EAST-1 (25 ноября)»;
  • «Post Mortem по недоступности Quay.io»;
  • «Junior, который в первый день работы удалил базу данных с production».

Вопросы с меткой [dns]

Domain Name System, распределенная иерархическая система хранения информации о доменах.

337 вопросов
Конкурсные
Неотвеченные

  • Конкурсные 0
  • Неотвеченные
  • Цитируемые
  • Рейтинг
  • Неотвеченные (мои метки)

46 показов

не могу получить доступ с локальной сети к некоторым сайтам зоны ru

Имеется Fedora 39, к ней подсоединен роутер через вторую карту, и внутри крутятся на qemu виртуальные машины. На самом сервере доступ нормальный к ok.ru, vk.ru и avito.ru. А вот у виртуалок и в .

задан 2 дня назад
25 показов

Домен и балансировщик нагрузки

у меня есть домен example.com и сертификат SSL для него. есть ELB балансировщик нагрузки амазон без защиты SSL. мне надо чтобы пользователи с помощью протокола ХТТПС обращались к домену example.com и .

задан 7 фев в 19:29
11 показов

Как автоматизировать получение Wildcard-сертификатов?

Как автоматизировать получение Wildcard-сертификатов? Сейчас практикую получение через Certbot/acme.sh, но везде нужно ждать, пока обновится DNS, не закрывая командную строку. В промышленных масштабах .

задан 6 дек 2023 в 18:24
188 показов

Настройка DNS в Docker

Помогите пожалуйста разобраться с DNS сервером не разу не настраивал и как правильно это делать не очень понимаю. Единственный раз когда у меня DNS заработал это когда я установил Hestia Control Panel.

задан 6 дек 2023 в 14:18
37 показов

Как добавить AAAA запись для dns? Что означают цифры перед :: в ipv6?

Certbot нужно добавить AAAA record для генерации ssl. Я проверил ip6 с помощью команды ip -6 addr. Получил запись формата ХХХХ::ХХХХ:ХХХХ:ХХХХ:ХХХХ/64 При этом у провайдера dns формат ввода: xx:xx:xx.

задан 29 ноя 2023 в 6:55
173 показа

Как отключить Cloudflare для некоторых страниц сайта?

В общем весь вопрос в названии. Хочу отключить пропускание трафика через Cloudflare для части страниц сайта для того чтобы видео не гонялись через Cloudflare. Потому что он их тормозит и сам .

задан 11 окт 2023 в 23:43
29 показов

Проблема с доменом и GitHub Pages

Возникла следующая проблема Заказчик купил хостинг, и попросил перенести сайт с мини изменениями. До этого у другого разработчика сайт хостился на GitHub Pages. Перенёс файлы, подключил домен. .

задан 5 окт 2023 в 14:32
114 показов

Проблема с доступом к ChatGPT

Был арендован выделенный сервер в Европе чтобы сделать себе VPN. Настроил я его по гайдам из открытых источников используя WireGuard. При настройке я указывал два DNS – 1.1.1.1 и 8.8.8.8. Все работает .

задан 15 сен 2023 в 10:59
48 показов

Недоступен домен (сайт) на территории РФ через HTTPS

Доброго времени дня и ночи. Столкнулся с довольно интересной проблемой, которую никак не могу решить (и даже не знаю в какую строну копать). Есть домен на GoDaddy, есть сайт и хостинг, на хостинг .

задан 17 авг 2023 в 18:36

Как перенаправить запрос с http://domain.zone на https://domain.zone и с IPV4 на https://domain.zone?

Собственно в этом и есть вопрос. Сейчас у меня есть сайт с доменным именем. В качестве dns использую не свою машину, а dns сторонней компании, но есть возможность добавлять записи. Также мне .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *