DNS-сервера в России снова атакуют. В частности, у одного из провайдеров у меня не открывается AfterShock (а также, к примеру, RuTube). У другого провайдера все ок (разные DNS сервера, очевидно). Мониторинг доступности говорит, что АШ "не виден" с 11 из 15 случайно выбранных городов - смотри скрин.
Если у вас возникли проблемы с доступом по причине DNS, как временное решение:
а) используйте VPN (это обеспечит использование других DNS серверов, но без гарантии, так как может и эти сервера будут недоступны)
или
б) можете внести адрес самостоятельно в hosts (инструкции и местоположение файла) в виде строки
178.208.71.17 aftershock.news
Если все работает, ничего вносить не надо, но скопируйте куда-нибудь строку выше с адресом, на случай если понадобится. После завершения атаки строку целесообразно удалить, так как если IP адрес сервера поменяется (не планируется в ближайшее время, но тем менее), будет браться неправильный адрес.
ОБНОВЛЕНИЕ (на 21-00 МСК). По данным мониторинга ситуация нормализовалась - но просьба сохранить / запомнить инфу выше при проблемах с DNS, вряд ли это последняя атака на сетевую инфраструктуру России:
Комментарии
По поводу комментария с рекомендацией прописать адрес в hosts: выше справедливо указано, что лучше не удалять, а закомментировать строчку.
Такие проблемы надо как-то указывать на ютубе в закрепленном комментарии или в ленте или на сайте вк. с разъяслением почему сайт не доступен и что можно сделать.
Т.к. если никакой дополнительной информации на сторонних сайтах нет, то впечатление что или роутер / комп сломался или сайт локально заблочен.
У нас для этого есть лента в ТГ - смотри наверху, и в ЖЖ.
В ТГ сообщение было.
ТГ 5-й строчкой в поисковике. VK - третьей.
Далее запрещенные соц.сети уже идут.
Последнюю ссылку не пробовал. Но вероятно через сутки другие добрался бы прочитать и до телеграмм канала.
Решил проблему через добавление мощного DNS-сервера в свойства соединения. Получилось с первой попытки, но и перебор мог бы попробовать.
Алекс, всёж в VK проблем у меня не было. МБ базовые всегда туды?
АШ - сила!
Ваще ничо не ломалось мегафон мск. Днс провайдерские.
Алекс, если вы полностью контролруете свою зону и не собиратеесь менять IP, то можете просто TTL выкрутить по макcимуму.
у вас сейчас - 3600 (1ч), это очень мало даже для обычной обстановки, сделайте хотя бы стандартные сутки (86400),
.
хотя можно смело неделю поставить (604800)
приложение:
dig aftershock.news. @один-из-ваших-DNS
...
;; QUESTION SECTION:
;aftershock.news. IN A
;; ANSWER SECTION:
aftershock.news. 3600 IN A 178.208.71.17
Мысль понял, сейчас сделаем.
А какой мой порядок действий, если все же в будущем будет необходимость изменить адрес?
постепенно уменьшать.
например, когда я занимался переездами с адреса на адрес служб FTP, HTTP и SMTP, то за 3 дня постепенно снижал с 86400 до 2880, сутки ждал, потом 7200, полдня, потом 900, а непосредственно за полчаса перед переездом ставил вообще 90 - и обратно ставил только после проверки. т.е. не сразу после переезда, потому что мало ли откатить обратно придётся.
прописать можно только для одной записи, например так:
localhost 604800 IN A 127.0.0.1
кстати, забыл сразу написать, скорее всего это не на АШ идёт DNS DDOS, а на NIC.RU. в прошлый раз многие сайты, у которых они были DNS-серверами,не работали потому что NIC.RU почти не отдавал записи.
также полагаю, что такая избирательность по неработающим диапазонам адресов связана с каналами - по РФ каналы заведомо лучше и забить всю полосу - сложнее. а вот то что идёт, например, через Стокгольм - доступная полоса - уже и нормальный трафик просто сликшом мал по сравнению с атакой, вот и теряется на этом фоне. например, для ранешнего алгоритма WRED у CISCO (что обнулять при недостатке пропускной полосы) - это норма. сейчас, конечно, улучшили это дело (traffic shaping, etc.), но чудес не бывает, а тут стрессовые условия.
и да, в некоторых случаях до сих пор из РФ в РФ пойдёт не через точки обмена типа MSK-IX, а через пресловутые стокгольмы - это к тому, почему у некоторых в РФ тоже проблемы.
Вот такие параметры внес (изменил строки retry и по умолчанию). Ок?
ддя default ttl? наверное да, хотя я бы делал только для целевой записи если вдруг есть другие записи (MX и прочие), но не факт что вам это доступно и это вам надо.
а почему такие странные значения для SOA? это там рекомендовано NIC.RU?
Expire - наверное так и задумано (сколько держать зону когда недоступен главный - 1 месяц). просто странное значение ровно в 10 раз больше распространённого 259200 - 3 дня, но вот minimum, retry и refresh - странные.
refresh - это как часто вторичники на главный сервер ходят проверять изменения (надо не мало и не много, 28800 нормально если нет частых изменений), retry - как часто пробовать снова если главный недоступен, 7200 - нормально, у вас - не норма. наверное что-то было кода-то перепутано. minimum - значение TTL по умолчанию для зоны когда в самой записи не прописано иное - не путать с "default ttl"! скорее всего default ttl пишется именно в сами записи. т.е. для вас может быть minimum иметь смысл только в разрезе "насколько кэшировать отсутствие запрошенной записи" - это позднее добавили, уже после rfc 1537.
я бы сделал компромиссное сутки (86400), т.к. такое малое время для minimum имеет смысл только для зон с часто меняемыми значениями, .ru например .:-)
у меня лично сейчас:
86400 ; Refresh (1d)
28800 ; Retry (8h)
1209600 ; Expire (2wk)
259200 ) ; Minimum (3d)
было когда-то:
; 28800 ; Refresh (8h)
; 7200 ; Retry (2h)
; 604800 ; Expire (7day)
; 86400 ) ; Minimum (1day)
вот что документация гласит:
https://datatracker.ietf.org/doc/html/rfc1537
https://help.reg.ru/hc/ru/articles/4408047470865-%D0%A7%D1%82%D0%BE-%D1%82%D0%B0%D0%BA%D0%BE%D0%B5-SOA-%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D1%8C-%D0%B8-%D0%BA%D0%B0%D0%BA-%D0%B5%D0%B5-%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%B8%D1%82%D1%8C
Прошу прокомментировать моё мнение по данному вопросу:
Сейчас функция DNS полностью делегирована ру-центру и в результате получаем… закономерные следствия DoS инфраструктуры ру-центра.
По моим представлениям тут было бы правильно:
1. Перенести мастера зоны на локальный ресурс (выбор реализации демона для роли мастера зоны пока оставляю за кадром);
2. У ру-центра оставить основную часть (slave);
3. Но разбавить slave'ы зоны другим провайдером. Например ростелеком (вопрос тоже дискуссионный).
Что скажете?
1. это всё не бесплатно, Ростело может много денег хотеть за вторичник который в этом случае может просто входить в состав платы за размещение сайта (условно "бесплатно")
2, от DDOS'а это не спасёт
3. технически есть возможность мастера вообще от публики прятать, тут непонятно чем поможет,но это я так, для расширения кругозора
Коллеги, у кого винда - инструмент быстрой перенастройки DNS в компе (свои dns можете добавить в список).
Скачать, распаковать, запуск правой кн. мыши "от имени Администратора"
В окне программы на нужной строке нажать правой кн. мыши "Сделать DNS активным".
Зеленая точка показывает какие dns прописаны сейчас.
Скачать: https://transfiles.ru/o7nak
У меня какую-то ошибку на счет невозможности связаться с почтой выдал. А в адресной строке какая-то дичь была. Все работает и проблем пока нет, просто для информации ссылку продублирую.
https://aftershock.news/?q=node/1083850&ts=1648063706&comment_requested_thread=0c.00.00.00.01.00.00.00.00.00.00/#comments
это все то же самое, ДНС сервера в стране в целом под атакой, касается и почты
Можно добавить в настройки подключения альтернативные гугловские ДНС сервера
https://developers.google.com/speed/public-dns
можно подумать, что гугель белый и пушистый и не может участвовать в атаке
Вот как ни странно - в атакаx на АШ гугель не участвует. В то же время АШ запрещён на DNS-серверах "нашего" Яндекса.
А вот на западных серверах он не забанен.
Но не везде... Интересно, в чём разница между этими двумя группами...
Вот кстати очень странное что-то...
РосТелеком настоятельно требовал пользоваться российскими корневыми серверами - https://habr.com/ru/news/t/577602/
Попробуем же импортозамещение...
Сами главные российские сервера отвечать отказываются, отправляют дальше по инстанциям. Попробуем же...
Т.е. ни один из следующих по цепочке серверов, которые указывают российские "корни" - не работают
Впрочем, в то же самое время, если использовать с теми же самыми серверами неинтерактивный режим, то...
и потом
Чем отличаются запросы интерактивные и неинтерактивные, почему в одном случае ответа нет - а в другом есть, тут я не знаю. Я тупая обезьяна, в чём может быть отличие на уровне протокола DNS - не понимаю, с моей точки зрения вообще не должно быть разницы! но она есть.
P.S. и соболезнования Алексу или его админам по факту регистрации у упырей из nic.ru
Тестировали может быть как интернет в изоляции работать будет. ДНСы они так устроены что их может быть много, так что можно в конец списка их поместить.
Я в одно и то же время, одной и той же программой nslookup.exe, делаю запрос к одному и тому же DNS-серверу news TLD.
...в одном случае сервер отвечает, и правильно, а в другом - не отвечает вообще.
В чем разница?
Вопрос не праздный, ведь половина "пользовательских" серверов тоже правильно отвечает про АШ, а другая половина уходит во внутреннюю эммиграцию. Возможно, что они запрашивают у проблемных серверов этими же самыми двумя методами, и половина получает ответ, а другая - нет.
это всё и есть последствия DDOS
просто nic.ru досят непрерывно, но с разным напором
alexsword, если у вас там vps на линуксе, то можно простое правило для iptables добавить, чтобы отсекать %90 текущих DDOS запросов
Так проблема-то не у nic.ru а у *.nic.news
iptables уже лет пять как obsolete, даже в линии опыта такого олдфага, как я!
Оказывается, хабраидиотизм ещё живёт и пахнет… ☹
> используйте VPN (это обеспечит использование других DNS серверов, но без гарантии
Не факт. Вот например рекомендованный Russia Today сервис PsiPhon (запрещённый в России через несколько дней после рекламы на RT) - это чистый VPN, он DNS не меняет
Страницы