Ένας DNS root-server έχασε την επαφή με τους ομότιμούς του. Ακόμα δεν ξέρουμε το γιατί.

**x_undefined** · 24-05-24, 21:13

Αρχικό μήνυμα από BlueChris

Έχεις σωσμενα δηλαδή τοπικά όλα τα domain του πλανήτη? Πόσο χώρο πιάνει αυτό?

Δεν περιλαμβάνει όλα τα domains φυσικά, αλλά τους authoritative nameservers για το κάθε tld. 2,14 MB είναι.

https://www.internic.net/domain/root.zone

**BlueChris** · 24-05-24, 21:31

Αρχικό μήνυμα από netblues

Μαλλον χωρις ιδιαιτερο νοημα μιας και ο unbound τα cacharει ουτως η άλλως.

Παντως ειναι καλη συνταγη ωστε να παει κατι στραβα, να το ξεχασεις και να μην το βρεις ΠΟΤΕ! (επειδη θα εχεις μια πιο παλια version και δεν θα σου δουλευει πχ το .sex ) Τυχαιο το παραδειγμα.

- - - Updated - - -

Οχι καλε... τα tld name servers μονο.. 25.000 γραμμες αρχειο. 2Mbyte και κατι ψιλα.

Κάτι χάνω... 25000 είναι τα ονόματα όλων των domain's?

Μπήκα και κατέβασα όλη τη ζωνη .com και είναι 25 γίγα μόνο αυτό.

- - - Updated - - -

Αρχικό μήνυμα από x_undefined

Δεν περιλαμβάνει όλα τα domains φυσικά, αλλά τους authoritative nameservers για το κάθε tld. 2,14 MB είναι.

https://www.internic.net/domain/root.zone

Οκ τόσο καιρό το είχα λάθος στο μυαλό μου, τα πραγματικά domain names είναι μετά το root level.
Ok thx

**netblues** · 24-05-24, 21:32

Μον τους ns του .com (και των υπολοιπων tld) και τιποτε περισσοτερο

**BlueChris** · 24-05-24, 21:37

Αρχικό μήνυμα από netblues

Μον τους ns του .com (και των υπολοιπων tld) και τιποτε περισσοτερο

Ένας φτωχός υπάλληλος ηλικιωμένος είμαι παιδιά μου με αρχές Alzheimer, οπότε να είστε καλοί μαζί μου

**fadasma** · 24-05-24, 22:08

Για τον unbound, προσθέτουμε αυτό στο configuration για να μην χρησιμοποιούμε τους root-servers

Κώδικας:

auth-zone:
    name: "."
    master: "b.root-servers.net"
    master: "c.root-servers.net"
    master: "d.root-servers.net"
    master: "f.root-servers.net"
    master: "g.root-servers.net"
    master: "k.root-servers.net"
        fallback-enabled: yes
    for-downstream: no
    for-upstream: yes
    zonefile: "root.zone"

**esertas** · 24-05-24, 22:08

Αρχικό μήνυμα από BlueChris

Ένας φτωχός υπάλληλος ηλικιωμένος είμαι παιδιά μου με αρχές Alzheimer, οπότε να είστε καλοί μαζί μου

Αυτός το έκανε!

**dpap76** · 25-05-24, 01:04

Αρχικό μήνυμα από fadasma

Για τον unbound, προσθέτουμε αυτό στο configuration για να μην χρησιμοποιούμε τους root-servers

Κώδικας:

auth-zone:
    name: "."
    master: "b.root-servers.net"
    master: "c.root-servers.net"
    master: "d.root-servers.net"
    master: "f.root-servers.net"
    master: "g.root-servers.net"
    master: "k.root-servers.net"
        fallback-enabled: yes
    for-downstream: no
    for-upstream: yes
    zonefile: "root.zone"

και πώς βρίσκει το IP των {b,c,d,f,g,k}.root-servers.net για να κάνει το πρώτο AXFR?

και με τις αλλαγές τι γίνεται? Μετά από 30-60 μέρες, το root zonefile θα έχει μπαγιατέψει.
Αν όχι με κάποιο νέο TLD που μπήκε αλλά όλο και κάποιος NS θα έχει αλλάξει IP (5.961 A και 5.630 AAAA records μετράω πρόχειρα)

ήρεμα ρωτάω για να καταλάβω για ποιο λόγο να το κάνει κάποιος αυτό

(1) για security? πώς διασφαλίζεται το AXFR που είναι ένα απλό unencrypted tcp/53? Και πώς διασφαλίζεται οτι το unbound μιλάει πράγματι με τους legit {b,c,d,f,g,k}.root-servers.net και όχι με κάποιον πλαστό/MITM root server. Αν μάλιστα ο κακόβουλος ενδιάμεσος αλλάζει και τον επίσημο DNSSEC trust anchor της ΙΑΝΑ, το dnssec validation κιχ δεν θα κάνει

AXFR over TLS εξ όσον γνωρίζω δεν υποστηρίζουν οι ανωτέρω root. Και το ανεπίσημο AXFR που επιτρέπουν οι ανωτέρω 6 μπορεί αύριο να κλείσει.

(2) για caching? πιστεύω όλοι θα συμφωνήσουμε ότι από τα 1448 επίσημα TLDs δεν χρησιμοποιούμε στην καθημερινότητα μας πάνω από 10 και πολλά λέω μάλλον. Γιατί να έχουμε μονίμως στην cache μας ~12.000 A/AAAA records που δεν θα χρησιμοποιήσουμε ποτέ?

(3) για redundancy? ως γνωστόν, οι 13 v4 και οι άλλες 13 v6 διευθύνσεις των root ns οδηγούν με anycast σε κάποιο από τα χιλιάδες instances/αντίγραφα που υπάρχουν σε όλη την Γη. Δεν θα συμβεί τίποτα απολύτως αν βγουν offline μερικά.

από το root-servers.org: As of 2024-05-24T21:37:08Z, the root server system consists of 1842 instances operated by the 12 independent root server operators.

anyway, for science έχει το ενδιαφέρον του να δοκιμάσουμε να στήσουμε το δικό μας stub-root και να δούμε τι ακριβώς σημαίνει αυτό κι από την άσχημη και από την καλή.

To RFC7706 παρέχει πολύτιμες πληροφορίες πώς ακριβώς να το κάνεις αυτό.

Αλλά πιστεύω το απλό root.hints αρχείο από το https://www.internic.net/domain/named.root αρκεί. change my mind

**netblues** · 25-05-24, 07:01

4. Γιατι απλα μπορουμε χωρις να υπάρχει ΚΑΝΕΝΑΣ ΑΠΟΛΥΤΩΣ ΛΟΓΟΣ.

btw αυτοματο axfr ΔΕΝ υπάρχει. Cron job ισως...

**fadasma** · 25-05-24, 08:24

Αρχικό μήνυμα από dpap76

και πώς βρίσκει το IP των {b,c,d,f,g,k}.root-servers.net για να κάνει το πρώτο AXFR?

και με τις αλλαγές τι γίνεται? Μετά από 30-60 μέρες, το root zonefile θα έχει μπαγιατέψει.
Αν όχι με κάποιο νέο TLD που μπήκε αλλά όλο και κάποιος NS θα έχει αλλάξει IP (5.961 A και 5.630 AAAA records μετράω πρόχειρα)

ήρεμα ρωτάω για να καταλάβω για ποιο λόγο να το κάνει κάποιος αυτό

(1) για security? πώς διασφαλίζεται το AXFR που είναι ένα απλό unencrypted tcp/53? Και πώς διασφαλίζεται οτι το unbound μιλάει πράγματι με τους legit {b,c,d,f,g,k}.root-servers.net και όχι με κάποιον πλαστό/MITM root server. Αν μάλιστα ο κακόβουλος ενδιάμεσος αλλάζει και τον επίσημο DNSSEC trust anchor της ΙΑΝΑ, το dnssec validation κιχ δεν θα κάνει

AXFR over TLS εξ όσον γνωρίζω δεν υποστηρίζουν οι ανωτέρω root. Και το ανεπίσημο AXFR που επιτρέπουν οι ανωτέρω 6 μπορεί αύριο να κλείσει.

(2) για caching? πιστεύω όλοι θα συμφωνήσουμε ότι από τα 1448 επίσημα TLDs δεν χρησιμοποιούμε στην καθημερινότητα μας πάνω από 10 και πολλά λέω μάλλον. Γιατί να έχουμε μονίμως στην cache μας ~12.000 A/AAAA records που δεν θα χρησιμοποιήσουμε ποτέ?

(3) για redundancy? ως γνωστόν, οι 13 v4 και οι άλλες 13 v6 διευθύνσεις των root ns οδηγούν με anycast σε κάποιο από τα χιλιάδες instances/αντίγραφα που υπάρχουν σε όλη την Γη. Δεν θα συμβεί τίποτα απολύτως αν βγουν offline μερικά.

από το root-servers.org: As of 2024-05-24T21:37:08Z, the root server system consists of 1842 instances operated by the 12 independent root server operators.

anyway, for science έχει το ενδιαφέρον του να δοκιμάσουμε να στήσουμε το δικό μας stub-root και να δούμε τι ακριβώς σημαίνει αυτό κι από την άσχημη και από την καλή.

To RFC7706 παρέχει πολύτιμες πληροφορίες πώς ακριβώς να το κάνεις αυτό.

Αλλά πιστεύω το απλό root.hints αρχείο από το https://www.internic.net/domain/named.root αρκεί. change my mind

Τα σχόλια μου παρακάτω:
-Οι πληροφορίες που κατεβάζουμε τοπικά έχουν ttl (time to live) που μόλις λήξει, κάνουμε πάλι sync με τους root servers.
-Υπάρχουν χιλιάδες root servers αλλά τα τελευταία 2-3 χρόνια έχουν συμβεί αρκετά δικτυακά incidents που έχουν βγάλει εκτός λειτουργίας όλους τους anycast dns servers μιας σελίδας ή μιας επιχείρησης, όχι τους root dns μέχρι στιγμής, αλλά κάποια στιγμή θα συμβεί και σε αυτούς.
-Υπάρχουν ελάχιστες εταιρίες που χειρίζονται τους root servers και βλέπουν την κίνηση και τα trends του παγκόσμιου ίντερνετ. Είναι ένας εφιάλτης για το privacy.

**BlueChris** · 25-05-24, 10:02

Εγώ πάντως όπως το διαβάζω γενικά από χτες, θα ήθελα να έχω σωσμενο τοπικά όλοι το .com και το .gr και να τα χρησιμοποιούσα. Update 1 φορά την μέρα κάθε βράδυ.

**netblues** · 25-05-24, 10:22

Τα περι privacy ειναι ακυρα. Δλδ θες να μας πεις οτι καποιος ξερει οτι ζητησες πχ τους ns του gr domain. ε και?

Γιατι θα ηθελες να το εχεις σωσμενο τοπικα? Τι εξυπηρετει? Ειναι αρκετα μεγαλο για να το κρατας in memory και να το ψαχνεις.

**fadasma** · 25-05-24, 11:23

Αρχικό μήνυμα από netblues

Τα περι privacy ειναι ακυρα. Δλδ θες να μας πεις οτι καποιος ξερει οτι ζητησες πχ τους ns του gr domain. ε και?

Για να μαθεις τους ns του .gr πρεπει να του πεις οτι ψαχνεις το adsl.gr και θα σου απαντήσει "εκεί είναι το ,gr πήγαινε και ρώτα" αλλά θα γνωρίζει οτι ψάχνεις το adsl.gr

**Cha0s** · 25-05-24, 11:40

Αρχικό μήνυμα από fadasma

τα τελευταία 2-3 χρόνια έχουν συμβεί αρκετά δικτυακά incidents που έχουν βγάλει εκτός λειτουργίας όλους τους anycast dns servers μιας σελίδας ή μιας επιχείρησης

Source?

**galotzas** · 25-05-24, 11:52

Αρχικό μήνυμα από fadasma

αλλά θα γνωρίζει οτι ψάχνεις το adsl.gr

Εχω την εντυπωση οτι με το qname minimisation o root βλεπει μονο το .gr

Unbound has qname minimisation enabled by default. Qname minimisation sends the minimum amount of information to each level of nameserver - just enough to get to the next lower level nameserver. The root servers are asked which nameserver is handling the desired TLD, then that nameserver is given sufficient information to get you to the next level of nameserver, etc.

From the unbound manual:

qname-minimisation: yes or no
Send minimum amount of information to upstream servers to enhance privacy. Only send minimum required labels of the QNAME and set QTYPE to A when possible. Best effort approach; full QNAME and original QTYPE will be sent when upstream replies with a RCODE other than NOERROR, except when receiving NXDOMAIN from a DNSSEC signed zone.

**fadasma** · 25-05-24, 13:04

Αρχικό μήνυμα από Cha0s

Source?

-Understanding how Facebook disappeared from the Internet
https://blog.cloudflare.com/october-...acebook-outage

-Slack is down for some people, and of course, the problem is DNS
https://www.theverge.com/2021/9/30/2...tion-work-chat

-DDoS attacks on Dyn (affected websites included Twitter, Spotify, and Vox Media)
https://www.theverge.com/2016/10/21/...ites-shut-down

Θέμα: Ένας DNS root-server έχασε την επαφή με τους ομότιμούς του. Ακόμα δεν ξέρουμε το γιατί.

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές