Ахтунг: «бесплатный» антивирус от RU-CENTER (NIC.RU)
Астрологи объявили очередной сезон развода на деньги клиентов RU-CENTER (nic.ru). Схема развода примитивна, неоднократно описана (в том числе здесь же на Хабре!), но может сработать при вашей невнимательности: Читать дальше →...
Глава DNS не верит в доставку и считает, что оффлайн торговать дешевле, чем в интернете
Доставка завышает стоимость транзакций для ритейла, несмотря на то, что оплачивается как рабский труд, рассказал на Гайдаровском форуме Дмитрий Алексеев, генеральный директор ООО «ДНС Групп». Может быть это мой провинциальный взгляд, неправильный. Я приезжаю в Москву и смотрю на этих бедных...
NXNSAttack или что делать с DDoS-атакой, усиленной в 163 раза
В мае группа израильских исследователей сообщила о новой уязвимости DNS-серверов, которую можно использовать для усиления DDoS-атак. Авторы утверждают, что при атаке с помощью DNS-резолверов коэффициент амплификации пакетов (PAF) достигает 1621, а пропускной способности (BAF) — 163. Уязвимыми...
Популярные сайты все еще уязвимы для массовой DDoS-атаки
Четыре года назад Twitter, Slack, Pinterest и другие популярные интернет-сервисы вышли из строя на один день из-за масштабной DDoS-атаки на DNS-серверы провайдера Dyn. Недавно группа исследователей решила проверить, какие уроки были вынесены жертвами. Спойлер: никакие. Читать дальше →...
[Перевод] Руководство по безопасности DNS
Чем бы ни занималась компания, безопасность DNS должна являться неотъемлемой частью ее плана по обеспечению безопасности. Службы обработки имен, преобразовывающие имена сетевых узлов в IP-адреса, используются буквально всеми приложениями и службами в сети. Если злоумышленник получит контроль над...
Домен corp.com выставлен на продажу. Он опасен для сотен тысяч корпоративных компьютеров под управлением Windows
Схема утечки данных через Web Proxy Auto-Discovery (WPAD) при коллизии имён (в данном случае коллизия внутреннего домена с названием одной из новых gTLD, но суть та же). Источник: исследование Мичиганского университета, 2016 Майк О'Коннор, один из старейших инвесторов в доменные имена,...
Passive DNS в руках аналитика
Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным...
Не из-за любви к цензуре: провайдеры США осудили шифрование DNS-запросов в Chrome и Android
Торговые ассоциации NCTA, CTIA и USTelecom, защищающие интересы интернет-провайдеров, попросили (.pdf) Конгресс США обратить внимание на внедрение шифрования DNS-запросов в будущих версиях браузера Google Chrome и в Android — это самый популярный браузер с долей ~64%, и операционная система с долей...
Firefox и Chrome будут шифровать DNS-запросы и обходить цензуру
Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес или его большую часть, что можно легко объединить с другой информацией, чтобы установить вашу личность. Из статьи Лин Кларк «DoH в картинках» На Хабре неоднократно рассказывали о...
Поднимаем свой DNS-over-HTTPS сервер
Различные аспекты эксплуатации DNS уже неоднократно затрагивались автором в ряде статей опубликованных в рамках блога. При этом, основной акцент всегда делался на повышение безопасности этого ключевого для всего Интернет сервиса. До последнего времени, несмотря на очевидность уязвимости DNS...
Британский Firefox не будет обходить блокировки из-за претензий «Бритишкомнадзора»
Разработчики Firefox "удивлены и разочарованы" претензиями британской провайдерской ассоциации ISPA, сообщил со ссылкой на Mozilla The Register. Ранее британцы включили Mozilla в тройку "интернет злодеев" года, так как будущие версии браузера будут использовать протокол DNS-over-HTTPS (DoH) — он...
Как DNSCrypt решил проблему просроченных сертификатов, введя срок действия 24 часа
Раньше сертификаты часто истекали из-за того, что их нужно было обновлять вручную. Люди просто забывали это сделать. С появлением Let’s Encrypt и автоматической процедуры обновления вроде бы проблема должна быть решена. Но недавняя история с Firefox показывает, что на самом деле она по-прежнему...
GitHub полностью удалил репозиторий утилиты для обхода блокировок
10 апреля 2019 года GitHub без объявления войны удалил репозиторий популярной утилиты GoodByeDPI, предназначенной для обхода государственных блокировок (цензуры) сайтов в Интернете. Что такое DPI, как связан с блокировками и зачем с ним бороться (по версии автора): Провайдеры Российской Федерации,...
Где найти настройки DNS в MacOS
Привет! Недавно передо мной встала задача отладить процесс резолва DNS имен в MacOS. Полноценного материала, о том как именно он происходит, я не нашел, пришлось собирать информацию самому. Вот что удалось выяснить. Читать дальше →...
Подмена А запией и блокировка https сайтов из запрещенного реестра
Сегодня ночью в техподдержке стали разрываться телефонные аппараты с гневными клиентами, которые не могут попасть на свою любимую почту mail.ru. В замен электронного ящика, пользователи получили сообщение о том, что mail.ru внесён в список запрещённых сайтов. После проверки некоторых моментов,...
Открытый рекурсивный DNS-сервер. Часть 2
Практически 4 месяца назад я открыл свой рекурсивный DNS-сервер для всех пользователей интернет (см. предыдущую статью). Накопленный объем данных на первом этапе теста был достаточно большим, для его визуализации я загнал данные в БД и построил динамические изменяющиеся графики и карту. Записанное...
XSS-инъекция в текстовую запись DNS
В интернете обнаружилась экзотическая разновидность XSS-атаки. Вредоносный код вносится в запись DNS типа TXT, которая может содержать до 255 символов. Этой атаке подвержены сайты, которые представляют в удобочитаемом виде информацию о доменах. В частности, наибольшую известность получил пример...
Response Policy Zones (RPZ) на страже сети
Мой эксперимент с открытием рекурсивного DNS сервера для всех желающих получился настолько успешным, что срочно пришлось менять правила игры. Вместо полного закрытия рекурсивного DNS я решил ограничить доступ к наиболее популярным у атакующих доменам с помощью механизма RPZ (Response Policy Zone)....