Рубрика «Администрирование доменных имен»

В последнее время появилось много интересных доменных зон, некоторые из них были и раньше. У большинства регистраторов на такие зоны большие скидки и на какой-то момент можно поверить, чтобы были созданы дешёвые и доступные зоны для всех пользователей для любых нужд, но на самом деле это и близко не так. Далее речь пойдёт о классических зонах .ru / .com и не совсем обычных .xyz, .club, .today, .life, .world, .online, .tech, .store, а также о регистраторах, которые заманивают низкими ценами и в результате пользователи попадают на большие деньги на продлении этих зон.
Читать полностью »

В одной известной всем стране жил простой веб-мастер Дмитрий. У Дмитрия был проект в интернете, который помогал людям решать их проблемы, и тем самым кормил Дмитрия и его семью.
Дмитрий на протяжении двух лет вкладывал в этот проект деньги, на которые заказывалось семантическое ядро, писались статьи, и тем самым постепенно повышалась посещаемость проекта в поисковых системах.
Дмитрий был счастлив иметь свой онлайн-бизнес, а его семья была сыта и одета… :)
Причем, изначально домен его проекта был зарегистрирован через компанию Infobox.ru. Но затем Дмитрий решил, что надо бы все свои домены перенести к известному и уважаемому регистратору, и выбрал в качестве сего регистратора компанию REG.RU.

Переезд был успешно выполнен 18 июля 2017 года

image

Прошло чуть больше 4 месяцев…

Как-то морозным декабрьским субботним утром Дмитрию приходит на почту письмо следующего содержания:

Как украсть международный домен на REG.RU и полностью переписать на себя без ведома владельца - 2

А поскольку Дмитрий был примерным семьянином и грамотно организовал свой бизнес, то утром в субботу он, как и следует делать, спал в обнимку со своей супругой. И это письмо увидел только днем.

И только он было начал размышлять, в чем собственно дело, ему пришло второе письмо:

Как украсть международный домен на REG.RU и полностью переписать на себя без ведома владельца - 3

Тут уже Дмитрий сильно нагрелся, и, ломая мебель на своем пути, ринулся судорожно открывать свой аккаунт на REG.RU.Читать полностью »

ENOG'14 — влияние блокировок контента на инфраструктуру интернета - 1

Qrator Labs выражает благодарность программному комитету ENOG за разрешение опубликовать на Хабре расшифровку круглого стола, посвященного блокировкам запрещенного к распространению контента. Мероприятие проходило в Минске 9-10 октября. Внимание! Текст длинный, тема чувствительная — просьба отнестись серьёзно к комментарию, который вы захотите оставить под публикацией.

ENOG («Евразийская группа сетевых операторов», в оригинале European Network Operators Group) представляет собой региональный форум интернет-специалистов, занимающихся важнейшими аспектами работы интернета. В рамках форума они имеют возможность обмениваться опытом и знаниями по вопросам, присущим Российской Федерации, странам СНГ и Восточной Европы.

Очередность выступлений и темы докладов:

  1. Техническая сторона блокировок, Алексей Семеняка — RIPE NCC
  2. Обзор технической ситуации с блокировками в России — Филипп schors Кулин, DIPHOST
  3. Проблемы deep packet inspection в транспортных сетях — Артем ximaera Гавриченков, Qrator Labs
  4. Перспективы блокирования контента в условиях дальнейшего развития технологий интернет — Антон Басков, AB Architecture Bureau
  5. Административные вопросы блокировок — Юрий Каргаполов, UANIC

Блокировки контента, введение

Читать полностью »

Сегодня к несчастью обнаружил что при открытии моего сайта высвечивается тонна рекламы с кучей переадресаций. Причиной всему явилось то что я использовал DNS сервера предоставляемые хостером firstbyte.ru. При переходе на сайт хостера тоже высвечивается аналогичная реклама.

DNS сервера подменены на

ns1.trafficclub.com
ns2.trafficclub.com
ns3.trafficclub.com
ns1.firstbytedns.com
ns2.firstbytedns.com
ns3.firstbytedns.com

и вызывают кучу переадресаций.
Обратите внимания что оригинальные днс это

ns1.firstbytedns.net
ns2.firstbytedns.net
ns3.firstbytedns.net

Даже не знаю почему до сих пор использовал DNS сервера данного хостера, ещё в начале года там были частые перебои с работой и я перевёл все сервера от них, а DNS оставил.
Отзывы о хостере

Надеюсь моя глупость окажется для кого-то полезным уроком.

Дополню статью в процессе появления новостей по взлому и его последствиях.
Читать полностью »

Если при попытке отправить сообщение на почтовые сервера Gmail вы вдруг получили ошибку типа «Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked.», то это почти всегда значит, что на вашем почтовом сервере не настроены DKIM, SFP и DMARC. Крупные почтовые серверы (Gmail, mail.ru, Яндекс) требуют наличие данных записей. Сегодня мы расскажем, как это сделать в Zimbra Collaboration Suite.

image
Читать полностью »

Эта статья о неудаче, создана для того чтобы продемонстрировать как полезно рассказывать о неудачах. Надеюсь она изменит результат на успех благодаря комментариям.
Как это обычно бывает, появляется новая задача, вы её обдумываете и останавливаетесь на каком то решении. Дальше, это решение необходимо воплотить в жизнь и вот тут то начинается самое интересное…

Передо мной встала большая задача перевести инфраструктуру компании и её проектов на автоматизированное управление. Впоследствии длительной мозговой деятельности, было последовательно выбрано использовать ansible и как веб интерфейс к нему jenkins. По мере понимания всех бизнес-процессов и системы работы серверов и сервисов, я уже чётко видел всю картину IaC (Infrastructure as Сode — инфраструктура как код). После пилотных плейбуков и ролей пора было начинать частичное внедрение, для ансибл есть замечательная возможность динамически собирать списки серверов которыми нам требуется управлять. Для хранения большого числа серверов и всех необходимых переменных для них решил на первых этапах использовать наши собственные ДНС серверы почерпнув идею у badoo(чтоб вам икалось ребята).

Когда вы хотели как лучше, а получилось как всегда. Вперёд, вниз в глубины гугловых дебрей. Читать полностью »

CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.

Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.

Я подготовил подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.Читать полностью »

DNSBL — это черные списки доменов и IP адресов. Под катом описано, что они собой представляют, за какие заслуги туда можно попасть и чем это чревато. Ну и как оттуда быстренько, в случае чего, выбраться с помощью сервиса мониторинга сайтов ХостТрекер, мы тоже упомянули.
Что такое DNSBL и как туда вам не попасть - 1
Читать полностью »

image

Классический DNS, который специфицирован в rfc1034 не пинает только ленивый. При весьма высокой эффективности работы, он действительно никак не защищён, что позволяет злоумышленникам переводить трафик на подставные сайты, путём подмены DNS-ответов для промежуточных кеширующий серверов (отравление кэша). Как-то с этой напастью борется https с его SSL-сертфикатами, которые позволяют обнаружить подмену сайта. Но пользователи обычно ничего не понимают в SSL, и на предупреждения о несоответствии сертификата автоматически кликают «продолжить», вследствие чего время от времени страдают материально.

Читать полностью »

unlockКак обычно, до ката нужно привести выжимку: в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок, в настоящее время Goolge и Mozilla планируют процесс утраты доверия к сертификатам Symantec.

Компания Symantec согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA (Subordinate Certificate Authority), работающего под внешним контролем (Managed CA). Сертификаты Symantec, выданные после 1 декабря 2017 года, не будут подпадать под блокировку и, судя по всему, продолжат работу.
Читать полностью »