DNS-сервера в России снова атакуют. В частности, у одного из провайдеров у меня не открывается AfterShock (а также, к примеру, RuTube). У другого провайдера все ок (разные DNS сервера, очевидно). Мониторинг доступности говорит, что АШ "не виден" с 11 из 15 случайно выбранных городов - смотри скрин.
Если у вас возникли проблемы с доступом по причине DNS, как временное решение:
а) используйте VPN (это обеспечит использование других DNS серверов, но без гарантии, так как может и эти сервера будут недоступны)
или
б) можете внести адрес самостоятельно в hosts (инструкции и местоположение файла) в виде строки
178.208.71.17 aftershock.news
Если все работает, ничего вносить не надо, но скопируйте куда-нибудь строку выше с адресом, на случай если понадобится. После завершения атаки строку целесообразно удалить, так как если IP адрес сервера поменяется (не планируется в ближайшее время, но тем менее), будет браться неправильный адрес.
ОБНОВЛЕНИЕ (на 21-00 МСК). По данным мониторинга ситуация нормализовалась - но просьба сохранить / запомнить инфу выше при проблемах с DNS, вряд ли это последняя атака на сетевую инфраструктуру России:
Комментарии
На сервисы нашей компании тоже идет жесткая атака,
Описана статическая времянка. О которое *необходимо* помнить и за которой необходимо следить.
В качестве более правильного подходя рекомендую использовать локальный кэширующий DNS (инструкция например тут).
При использовании данного (рекомендуемого) сценария описанной проблемы не наблюдаю. По крайней мере в части предлагаемого workaround (на следствия явления на стороне сервера АЩ никак не влияющий).
Не следует множить сущности сверх необходимого. Хостс не "времянка", а самый кондовый и вечный элемент протокола. С него всё начиналось и он пребудет вовеки. Очень дурная идея иметь в нём больше нескольких десятков записей, но меньше - вполне годное решение некоторых проблем. Винда, емнип, ещё не научилась менять приоритет резолва, всегда в хостс сначала лезет и только если там не найдёт, в днс и прочие службы.
Попробуйте начать с формализации и обоснования критериев «необходимого».
С переходом к вопросу о причинах и критериях ограниченности данного элемента.
И далее к принципу монизма бытия («удобства» согласованного сопровождения нескольких потенциально антагонистичных решений одной задачи).
ЗЫ: Мыши плакали, кололись, но продолжали использовать… вот уже 11-ю версию Window$.
Мне Firefox на днях предлагал "исправить" мои настройки dns. Судя по всему, так же, как он исправил настройки поиска. :(
Отказался, но теперь думаю, что пора искать другой браузер в качестве основного.
Chromium (не Chome!). Чистая сборка без многих гуглохреней, сам такой гоняю уже давно. Там же можно выбрать Хромиум для других платформ.
Неплохой выбор.
тогда уж не просто chromium, а ungoogled-chromium вот отсюда https://github.com/Eloston/ungoogled-chromium - максимально отвязанный от всевозможной гуглятины.
Расширения туда можно доставить отдельно, сначала поставив расширение google-store.
О, спасибо, заценю
Подозреваю, это всего лишь -hangouts.
Ну, вообще-то там подробно написано.
ungoogled-chromium addresses these issues in the following ways:
Remove all remaining background requests to any web services while building and running the browser
Remove all code specific to Google web services
Remove all uses of pre-made binaries from the source code, and replace them with user-provided alternatives when possible.
Disable features that inhibit control and transparency, and add or modify features that promote them (these changes will almost always require manual activation or enabling).
А причём мертворождённый сервис hangouts к веб браузеру я не совсем понимаю. Там же на гитхабе можно уже собранные версии скачать в github.com/ungoogled-software
Заценил. Сохранил свои закладки и сессии и установил ангуглед. Он, само собой поверх обычного хромиума встал. И сразу упал после запуска. Снова запустил - снова упал. Все закладки и плагины в нем остались от прежнего хромиума - видимо плагины его и крашили, надо было их сначала удалить, не подумал. Вернул назад обычный хром пока, потом еще побалуюсь, уже как следует )))
В принципе поломка профиля — не то, чтобы невозможное событие и при обычном обновлении.
Хотя в моей практике случалось считанное число раз…
Я перешёл постепенно, chrome->chromium->ungoogled-chromium, закончил переход где-то полгода назад. Попытка сохранить профиль не работает - слишком много отличий, проще начать заново на portable версии (если на windows) а потом уже скопировать настроенный профиль (в -ungoogled соответственно ничего не сохраняется в облаке, поэтому надо расширения сохранять списком со ссылками (для этого есть расширение), а сохранённые пароли лучше в менеджер паролей типа bitwarden. Настройки расширений, если их можно сохранить в файлы.
Или Brave. С ним вообще интересная история.
Такой подход заведомо порочен.
Просто используйте правильные сборки.
ЯндексБраузер - отличный и удобный, пользуюсь давно.
Тоже недавно перешел на него, оказался очень удобным!
Если в закладки экспресс-панели вместо обычного адреса вписать 178.208.71.17 - и попытаться открыть сайт, то сначала выходит предупреждение о небезопасном соединении и если жмешь все равно продолжить - открывается Афтершок с нормальным https. Как-то можно обойти это предупреждение?
прописать адрес в файл hosts. Инструкции есть в комментариях
У меня Линукс и я еще не знаю, как это в нем делается, хотя уже третий год на нем сижу :) Придется копать инфу :)
UPD. Нашел и поправил :)
прочитать
man hosts
потом ковырять файлик /etc/hosts (от рута конечно, кого попало туда не пустят)
/etc/hosts
Да, sudo <редактор> /etc/hosts :)
Лучше настройте локальный кэширующий DNS и будет Вам счастье.
Например я. Использую рекомендуемую схему далеко не первый год. О проблеме с DDoS DNS узнал от Алекса ☺
Это имеется в виду на своем компе ДНС-сервер организовать для своей же системы? Как вот тут описано, на либерхабре?
Зачем хабраидиоты, когда мы сами с усами?!.
Нет.
Точнее — на стороне клиента это невозможно.
В принципе, если в сертификат сервера (АШ) помимо доменного имени забить конкретное значение IP, то оно будет работать чисто и красиво. До возникновения необходимости изменения IP-адреса (если новое значение не предусмотрено в сертификате).
Никак. Сертификат выдан на доменное имя, а не на ip адрес.
Не кидайтесь тапками😝 а что делать, если не открывается на iPad? Сейчас только через Psiphon ( Мобильный Билайн
Вбить в адресную строку ip сайта - 178.208.71.17
Это его настоящий адрес, никаких днс для доступа не требуется. В сафари макоси на виртуальной машине открыл сейчас. Он потребовал нажать открыть или назад, предупредил, что открываю на свой страх и риск, запросил админский пароль, обновил политики и теперь открывает без вопросов.
из Испании как-то странно всё не работает.
Mac-Safari, brave, firefox не работают (АШ, рбк и много чего),
через Chrome работает, Opera через свой vpn азиатский работает.
по IP АШ тоже не работает.
По IP если писать в браузере, он и не будет работать, надо так как написано в записи.
А что делать с телефонами, куда прописывать IP?
Может в будущем что-нибудь можно будет сделать, чтобы по IP можно было заходить? Наверняка это не последняя проблема с DNS.
Спасибо! У меня не открывался с обеда, но через впн сейчас зашел.
Добавлю этот способ тоже, по крайней мере это обеспечит смену DNS сервера, хотя тоже без гарантии его работы.
Извините, но тут без прокачивания скиллов проблемы не решить. Начните с обзора.
провайдер YOTA
ДНС использую от яндекса - всё "отвалилось"
прямо сейчас:
сделал запись в ДНС на своём Wi-Fi роутере
Да, судя по мониторингу доступности, DNS в России сейчас стоит колом.
Главное, что не пытаются подсунуть левые адреса, а просто не отвечают. Так-то можно этих DNS-серверов в цепочку очень много выстроить, первые десять не ответят - ответит 11-й.
Возможно вообще надо будет ставить домашние DNS-сервера, типа Acryllic под Windows. Приплыли...
Ещё интересно, как работают провайдеры новомодных DNS-over-HTTP и DNS-TLS
Буду краток: УМВР!
Это вы что-то очень кратко. Правильно говорить "УМВРЧЯДНТ?"
Я хожу на Cloudflare через TLS - все работает.
А вообще тут есть отдельная печаль - у Яндекса нет TLS/HTTPS.
Во-первых - стоит работать только с шифрованными DNS-запросами (TLS, HTTPS). Обычные я вне локалки вообще запретил.
Я сижу на cloudflare (1.1.1.1), и все резолвится отлично - у вас же очень похоже на классический MiTM - кто-то по дороге дропает пакет запроса.
Вообще я бы задал вопрос провайдеру (знакомый, знаете ли, почерк вандализма...) или оттрейсил кто там еще участвует (особенно в случае с Яндексом).
Однако у меня вчера в данном сценарии (DoT) в разгар атаки ГА не резолвилась.
Странно.... Я, конечно, постоянно не слежу, но у меня проблем с этим не было вчера. Правда, у меня еще и кэшер в локалке.
Результат — следствие его (локального кэширующего) происков. ☺
Кстати, а возможно - только несколько по другой причине.
Я в локалке пользуюсь SmartDNS (написал китаец, open source).
Он кроме того, что кеширует, еще умеет и задавать вопросы куче аплинков одновременно - и кто ответил первым, тот и папа.
Видимо, это дополнительно отлично помогает от атак на часть DNS - такого типа. А подменить ответ можно только на нешифрованных.
У меня их там десяток прописан в нем.
В описании https://github.com/pymumu/smartdns — проповедь откровенных ересей. Что лично в моём случае скорее отбивает стремления к более близкому знакомству.
ЗЫ: Интересно: они net-dns/dnscrypt-proxy (по слухам — свой нестандартный вариант протокола) поддерживают?
Jedem das seine. Рад, кстати, за ваши знания китайского.
Оно, может, и ересь - но рабочая вполне.
С криптом я сталкивался, но там код весьма грязный, пока пользоваться нельзя (хотя в Штатах и популярен). Так что нет, пусть они с ним и мучаются.
Страницы