Организация Internet System Consortium (ISC), занимающаяся разработкой открытого программного обеспечения для нужд сети интернет (в частности, bind (http://www.isc.org/software/bind), dhcp (http://www.isc.org/software/dhcp), aftr (http://www.isc.org/software/aftr), ntp (http://www.isc.org/software/ntp), inn (http://www.isc.org/software/inn)), представила (http://www.isc.org/community/blog/201011/join-global-passive...-) новый проект, направленный на борьбу с интернет-мошенничеством — DNSDB@ISC, использующий технологию пассивного DNS (pDNS).
Идея pDNS была предложена в 2004 году Флорианом Веймером (Florian Weimer). Вкратце, она состоит в следующем: большая сеть снифферов (pDNS sensors) регистрирует DNS-трафик и передает полученную информацию в единую базу данных. Используя эту базу, можно получить различную информацию, полезную в борьбе с интернет-мошенничеством. К такой информации, в частности, относятся:
- «Ист...URL: http://www.isc.org/community/blog/201011/join-global-passive...-
Новость: http://www.opennet.me/opennews/art.shtml?num=28890
объясните пожалуйста по проще
Ну вот ты админ. Ставишь исковский бинд. Ну и сенсор впридачу. и этот сенсор отправляет статистику "куданадо"
Все понятно и совсем не понятно одновременно. Как это поможет существенно защититься от мошенничества и в чем подвох?
Ну, дпоустим, есть некий ботнет, который лезет за инструкциями на управляющий сервер ahmgnclbhdskv.com. Достучались до регистратора, заблокировали домен. А боты тут же на следующее имя переключились (qlrkefndfvmnwjkr.org какой-нибудь), и ботнет дальше себе работает.А так - сразу узнали айпишник управляющего сервера, и скопом отозвали всю сотню доменов, которые на него указывали.
> Ну, дпоустим, есть некий ботнет, который лезет за инструкциями на управляющий сервер
> ahmgnclbhdskv.com. Достучались до регистратора, заблокировали домен. А боты тут же на
> следующее имя переключились (qlrkefndfvmnwjkr.org какой-нибудь), и ботнет дальше себе
> работает.
> А так - сразу узнали айпишник управляющего сервера, и скопом отозвали всю
> сотню доменов, которые на него указывали.как на воде вилами... только не очень умный человек будет управляющие домены располагать на одном ип-е.
>А так - сразу узнали айпишник управляющего сервера, и скопом отозвали всю сотню доменов, которые на него указывали.на каком основании? а как-же презумпция невиновности
А это сейчас не в моде. Сейчас модно отнимать домены без суда и следствия, называть неугодных террористами, etc. Пусть ISC заборет сперва фишинг от США вида "отобрали без суда и следствия домен, вывесили надпись seized", а потом уже раздает своих зондов, имхо. Иначе как-то лицемерно получается: с мелочью разберемся, а на крупные проблемы - забьем. Самым крупным фишером является само США, нагло присвоившее себе права отнимать любые неугодные домены и вывешивать там картинки рассказывающие об этом.
То есть что бы остановить яндексовский народ.ру достаточно будет раздать оттуда команды боту? :)
Всех послушают и запишут в базу.Потом будут сидеть и искать аномалии.
А если что то случиться, будут типа логи для анализа.
причем тут аномалии? что аномального можно увидеть в ДНС трафике своего резолвера ))
я так понял что ребята просто хотят собрать статистику по доменан и на ее основаниие выявлять айпи паразитов
только бы все это не превратилось в очередной "спамхаус" шантажирующий владельцев валидных доменов
Дурацкая идея. Якобы под благовидным предлогом защиты от мошенников в сеть вставляется еще один зонд. Можно подумать нету других способов борьбы со спамерами итд.Действительно пора заменять централизованный DNS на p2p-модель.
> Дурацкая идея. Якобы под благовидным предлогом защиты от мошенников в сеть
> вставляется еще один зонд. Можно подумать нету других способов борьбы со
> спамерами итд.
> Действительно пора заменять централизованный DNS на p2p-модель.Там черным по белому написано, что IP локальной системы вырезаются, данные анонимны. Параноики могут посмотреть скрипты, там стандартные утилиты используются и видно какие поля собираются.
Нужно всего лишь немного фантазии: например представим что у юзера в системе DNS-ом прописан 8.8.8.8.С мира по нитке и паутина готова.
Идея интересная, только непонятно как они собираются защищать эту базу от поддельных данных, отправленных теми же фишерами.
Уже дошло, данные легко проверяются обычным ДНС-запросом. Отличная штука получается, у меня уже был опыт блокирования спама по NS отвечающему за MX - очень эффективно работает, только находить такие NS уж очень сложно было. Надеюсь, что эта штука значительно облегчит поиск.
а оно поможет в борьбе с Правительством США? или оно самому Правительству будет помогать?
> а оно поможет в борьбе с Правительством США? или оно самому Правительству
> будет помогать?Скорее второе.
как раз для выявления wikileaks
А что, отзывать домены на основании сниффинга уже можно? Насколько помню, такого пункта при покупке домена в договоре нет.Да и вообще, если вдуматься, доменное имя и активность гада, который живет на IP, на который какая-то из записей домена указывает - это разные вещи.
Но вот что интересно - подозреваю, после установки зонда мне должны бы предложить еще и скрипт загрузки и блокировки доменов из черного списка поставить... А иначе зонд лично мне и не нужен как бы вовсе напрямую.
а трекерами кто будет ?
> а трекерами кто будет ?trackerless -- DHT and others
))ага а как будет вестись поиск ? что п2п это полностью децентрализованная пиринговая сеть ?
> ))
> ага а как будет вестись поиск ? что п2п это полностью децентрализованная
> пиринговая сеть ?ну я так понял что ты не асилил прочитать что есть DHT и другие подобные
суть трекера понимать? отличаеш от портала на котором ведётся поиск? результат этого поиска тебе понятен?
для тупых -- да p2p может быть полностью децентрализованной.
>Например, в случае получения спам-трафик с некоторого домена, можно, используя DNSDB, получить список других доменов, указывающих на тот же IP-адрес. Высока вероятность, что такие домены либо уже являются источниками спама, либо станут ими в ближайшем будущем.Сейчас и так в dnsbl-ы заносится ip-ы отправляющего сервера, а не доменные имена, т.е. отсекаются разом все домены на конкретном ип-е. вопрос: нафига тогда городить огород с той же редиской, только более дорогой?
А так, я прямо вижу уже... шаред хостинг... на дырявую пхпбб васи пупкина залили фишинг страничку, хостер как и полагается васю заблочил, но информация уже просочилась и понесся браузер-бан ("эта страничка может содержать бяку-информацию") всех подряд клиентов хостера...
Или проделегировал я домен на нс-ы предоставляемые регистратором, а с какого-то домена, зарегестрированного на эти же нс-ы отправляли спам, в результате у меня не принимает почту пол-интернета и фиг поймешь, что делать, и как вести разборки полетов...
короче: имей свой домен, к нему имей свои нс-ы на своих ип-ах, которые входят в свою ас-ку. нафиг такое чудо нужно?
вообще если реализация будет точно прозрачной и анонимной, то для построения p2p DNS она бы не помешала.
отслеживать историю изменений адресов для dyndns/no-ip и прочих динамических доменов это будет нарушением приватности
Как прекрасно. Одни предлагают создать децентрализованый DNS, а другие явно помогают дядям с централизацией. И всё это opensource :D
Об этом стоит зачать статью на Википедии