https://www.opennet.ru/openforum/vsluhforumID3/132832.html В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие DNS-серверы BIND, PowerDNS, dnsmasq и Unbound. Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC, через создание высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC, запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60599<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#50 Sat, 17 Feb 2024 11:59:06 GMT Прастити, у вас ДНС работают на ZX-Spectrum, раз перед ими при нагрузке аж в 121 запрос в секунду пришлось поставить балансировщик?<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#49 Fri, 16 Feb 2024 07:28:42 GMT Название - тоненький намёк на то, что NSEC3 - это и есть дыра.<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#48 Thu, 15 Feb 2024 19:43:27 GMT Я не могу тебе запретить упорствовать в твоём невежестве.<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#47 Thu, 15 Feb 2024 19:37:32 GMT &gt; Для умеющих читать, там есть столбец Qps.<br><br>А для умеющих думать ещё и очевидно, что Qps сильно зависит от времени измерений, и чем оно уже, тем больший вес имеют случайные пики. Так что твой выпендрёж снова мимо кассы. Как и смешная цифра в 121 запрос в секунду. Для таких тривиальных объёмов городить три уровня балансировки &#8212; это уровень университетской лабы, где надо показать уверенное понимание модели OSI.<br><br>&gt; И действительно, серьёзные дяди выставляют все бэкенды голой задницей в интернет.<br><br>Серьёзные дяди пользуются публичным адресным пространством и хардварными фаерволлами. Клиенты за лишнюю миллисекунду задержки ответа начинают ЗВОНИТЬ в саппорт и требовать всё срочно починить.<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#46 Thu, 15 Feb 2024 19:28:51 GMT &gt; ... и наивно верят, что перед L7-балансировщиками нет L3 (BGP) и L4 (IPVS) яруса.<br><br>Больше балансировщиков к трону бога балансировщиков! Ну наслаждайся своим ланчиком. Там действительно можно что угодно ставить в любых количествах, хоть на RPI DNS-инфраструктуру развернуть, и всё равно работать будет.<br><br>&gt; А ещё эти гадкие балансировщики позволяют делать так<br><br>Такой примитив и сам ДНС-сервер может делать. Я бы ещё понял, если бы у тебя там какая-то эвристика была, анализ потока с детектором аномалий, сложные алгоритмы, ИИ, ещё что-то интересное. Но нет, ты выбрал просто увеличение латенси и лишние сущности. Нужно больше золота^Wбалансировщиков!<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#45 Thu, 15 Feb 2024 18:33:24 GMT &gt; В том же, в чём отличие мягкого от зелёного<br><br>Ну да, точно. У них действительно нет ничего общего, даже предназначения. HTTPS нужен для безопасности (в том числе, для аутентификации открываемого сайта), DNSSEC &#8212; для прикола.<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#44 Thu, 15 Feb 2024 18:30:26 GMT Ну, уважаемый "Аноним (6)" явно знает, как делать громкие заявления, но определённо не знает, как устроены продовые DNS-резолверы (судя по его реакции на балансировщик).<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#43 Thu, 15 Feb 2024 18:28:16 GMT &gt; Без аптайма это фигня какая-то, а не инфа. 7723759 &#8212; это за день? За час? В секунду? Или может быть ты &#171;работает &#8212; не трогай&#187; и это за три года?<br><br>Для умеющих читать, там есть столбец Qps.<br>Попробуйте позвать к компьютеру кого-то, кто владеет этим сакральным знанием, пусть он вам прочитает :)<br><br>&gt; Впрочем, я по &#171;красивеньким&#187; RFC1918 адресам вижу, что это какой-то нескучный ланчик &#8212; то ли общажная сеть, то ли завод, то ли местячковый провайдер с тысячей клиентов.<br><br>И действительно, серьёзные дяди выставляют все бэкенды голой задницей в интернет.<br> https://www.opennet.ru/openforum/vsluhforumID3/132832.html#42 Thu, 15 Feb 2024 18:25:00 GMT &gt; Первое, от чего стоит избавиться в проде<br><br>... это от советов людей, которые прода никогда не видели<br><br>&gt; являться единой точкой отказа<br><br>... и наивно верят, что перед L7-балансировщиками нет L3 (BGP) и L4 (IPVS) яруса.<br><br>А ещё эти гадкие балансировщики позволяют делать так<br>-- Drop rules<br>addAction(MaxQPSIPRule(2500, 32, 64), DropAction())<br>addAction(MaxQPSIPRule(5000, 24, 48), DropAction())<br><br>-- Refuse rules<br>addAction(MaxQPSIPRule(2000, 32, 64), RCodeAction(DNSRCode.REFUSED))<br>addAction(MaxQPSIPRule(4000, 24, 48), RCodeAction(DNSRCode.REFUSED))<br><br>-- Truncate (force TCP) rules<br>addAction(AndRule({MaxQPSIPRule(500, 32, 64), TCPRule(false)}), TCAction())<br>addAction(AndRule({MaxQPSIPRule(1000, 24, 48), TCPRule(false)}), TCAction())<br>