Skip to content

Попытка ответить на вопрос о резольверах, проверяющих домены из списка РКН

Notifications You must be signed in to change notification settings

darkk/where-is-resolver

Folders and files

NameName
Last commit message
Last commit date

Latest commit

4caf7dc · May 5, 2018

History

24 Commits
Jun 13, 2017
Jun 15, 2017
Jun 13, 2017
Jun 13, 2017
Jun 14, 2017
Jul 3, 2017
Jun 13, 2017
Jun 13, 2017
Jun 14, 2017
Jun 15, 2017
Jun 13, 2017
Jun 13, 2017
May 5, 2018
May 2, 2018
May 4, 2018
May 5, 2018
Jun 13, 2017
Jun 13, 2017
Jun 13, 2017
Jun 14, 2017

Repository files navigation

Где резольвер, Лебовски?

В данном репозитории лежат скрипты и конфигурационные файлы для нескольких доменов из списка РКН.

Эти домены выбраны исходя из следующего принципа: пара доменов для https-записей, пара для http и пара для записей вообще без URL-ов.

Цель регистрации доменов из "чёрного списка" не так называемая DNS-атака, а попытка понять, какие провайдеры производят DNS-резолвинг при обработке выгрузки РКН, а какие — нет.

Для предотвращения "атаки" предприняты следующие меры:

  1. для доменов с "малым" числом IP адресов используются уже указанные в выгрузке для соответствующих доменов IP адреса
  2. для доменов с "большим" числом IP адресов используются случайные 2048 IP адреса указанные в выгрузке для каких-либо доменов

Таким образом, множество IP-адресов, в которые резольвится выгрузка, от этих доменов не должен как-либо измениться.

Но какое-то количество багов всё же было стриггерено:

  1. Никто не ожидает испанский CERT, у которого случилось ложное срабатывание автоматики на один из доменов.
  2. В dnspython есть квадратичная деградация производительности на ответах с большим числом однотипных RR.

About

Попытка ответить на вопрос о резольверах, проверяющих домены из списка РКН

Topics

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published