Portál AbcLinuxu, 8. května 2025 22:55
Ondřej Surý z Laboratoří CZ.NIC zpracoval na blog sdružení aktuální téma, kterému se teď věnuje komunita kolem IETF. Jedná se o podání internetového draftu, za nimž stojí tři čínští internetoví specialisté. Jejich návrh počítá s tím, že by vedle stávajícího DNS stromu vznikl další „autonomní“ DNS strom, který by podle zvážení jeho správce obsahoval pouze některé top level domény. Takových nezávislých stromů by mohlo být v Internetu více a přístup mezi nimi by byl zajištěn pomocí translačních bodů, které by odpovídaly na dotazy ležící v uměle vytvořeném podstromu. „Osobně vnímám takovou iniciativu za velmi škodlivou otevřenému Internetu a domnívám se, že by IETF v žádném případě nemělo legitimizovat cenzuru tohoto druhu a zasadíme se o to, aby tento návrh v IETF neprošel,“ píše Ondřej Surý, který se ve svém blogpostu věnuje i tomu, jak by taková komunikace mohla vypadat.
Tiskni
Sdílej:
19.6.2012 21:07
pavlix | skóre: 54
| blog: pavlix
A DNSSEC nic neresi.To je pořád do kola. Vždycky přijde někdo, kdo bohorovně prohlásí totální pitomost. Jo, kdybys napsal, že něco neřeší a to něco specifikoval konkrétně, to by bylo o něčem jiném, že.
=> p2p DNS muze naprosto spolehlive fungovat, a je to naprosto dokonale reseni soucasnych potizi s DNS - zadne prodavani domen, jednoduse kdo driv prijde, ten driv mele, zasadni navyseni bezpecnosti i vykonu ...Tak na tu piratebay by to fungovat mohlo... ale piratebay není všechno.
Tak schvalne, co resi DNSSEC, teda krome toho, ze znasobuje silu utoku pomoci DNS serveru, tudiz mi staci par desitek masin a zahltim ti linku?Red herring. Mimochodem, umíte spočítat, jak budou zatížené linky při masovém použití vaší oblíbené P2P DNS? Vůbec by mě nepřekvapilo, kdyby pak ani žádné úmyslné útoky nebyly potřeba :)
Kazdej koncak pouziva nejakej DNS, kdyz mu poslu libovolnou odpoved, tak ji akceptuje zcela automaticky jako spravnou.Může si zkontrolovat její podpis. Pokud to nedělá, jeho blbost. Můj resolver to dělá.
duplicity sit neumozni?A to se zařídí jak?
20.6.2012 19:57
pavlix | skóre: 54
| blog: pavlix
Tak schvalne, co resi DNSSEC, teda krome toho, ze znasobuje silu utoku pomoci DNS serverDoporučuju si nejprve přečíst, co to DNSSEC je. Až to budeš vědět, můžeme spolu začít diskutovat :).
zadne prodavani domen, jednoduse kdo driv prijde, ten driv mele,A jak se to brání proti DoS útokům, při nichž prostě někdo přijde a registruje si celý slovník?
20.6.2012 03:00
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Aha, takže to nejsou zrovna black hats, co teď aktuálně mají k dispozici velkou výpočetní sílu ve formě botnetů?
Nehledě na to, že prostě nejde předstírat, že mě nějaké ochranné známky[1], a další věci[2] z reálného světa nezajímají. Ve chvíli, kdy začnete mapovat reálný svět do DNS, které navíc má ještě další vlastnosti, tak vždy narazíte.
1. Ve vztahu ke spekulativním registracím domén.
2. Pamatujete třeba na kauzu porna na dagmarhavlova.cz?
20.6.2012 14:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Aha, takže to nejsou zrovna black hats, co teď aktuálně mají k dispozici velkou výpočetní sílu ve formě botnetů?Mají, ale všimni si, že třeba pořád ještě nikdo nespočítal alternativní blockchain. Čím to? Osobně bych se ale k projektu P2P DNS nepřidal, přijde mi, že přináší příliš málo výhod. Mnohem víc se mi líbí přímé adresování pomocí hashů veřejných klíčů, které se používá třeba v .onion.
zadne prodavani domen, jednoduse kdo driv prijde, ten driv meleA když dřív přijde víc zájemců, tak budeme mít v síti několik vlastníků jednoho DNS jména a adresy se budou různě přelévat, podle toho, která část sítě bude zrovna silnější? Když se odpojí větší část sítě (třeba kvůli chybě), tak se prostě část DNS záznamů zapomene a po opětovném připojení začnou registrace nanovo? Případně pokud se nenajde dost provozovatelů uzlů, rovnou se celý DNS vypne? Na nějaké operativní změny DNS záznamů v řádu minut můžeme rovnou zapomenout…
je to naprosto dokonale reseni soucasnych potizi s DNSAsi máme každý úplně jinou představu o tom, co jsou současné potíže DNS.
Zadnych vic zajemcu se nenajde, jeden je vzdycky prvni.O tom, kdo byl první, musí rozhodnout nějaká autorita, centrum. Bez toho to nejde – nejen v DNS, ale nikde, z principu.
Zadna vetsi cast site se neodpoji, neb pro zajisteni dostupnosti zaznamu si jaksi kazdy musi drzet spusteneho sveho klienta nebo jaksi mit ten zaznam "u nekoho"No právě. Když ten záznam bude mít jen u sebe, je mu celkem k ničemu. Aby ho měl ještě u někoho, musí ten někdo mít důvod ten záznam u sebe hostovat.
nehlede na to, ze v pripade jaderne valky mi asi bude celkem uprdele ze nefunguje DNSV případě jaderné války možná. Ale v případě, že se někdo na jižní Moravě při konfiguraci Cisca uklepne a napíše o jednu nulu navíc, bude celkem nemilé, že se následkem toho zruší spousta domén a začne boj o to, komu se podaří svou registraci třeba Seznam.cz pomocí botnetů a masivních útoků prosadit do sítě.
Zmeny z minuty na minutu nejsou mozne ani v soucasne DNS systemuZměny v řádu minut možné samozřejmě jsou. Že by nějaká keš nerespektovala TTL 5 minut, to nebude moc častý případ.
Že by nějaká keš nerespektovala TTL 5 minut, to nebude moc častý případ.
Třeba takový Google DNS...
20.6.2012 14:56
Jendа | skóre: 78
| blog: Jenda
| JO70FB
O tom, kdo byl první, musí rozhodnout nějaká autorita, centrum. Bez toho to nejde – nejen v DNS, ale nikde, z principu.Přečtěte si něco o distributed network consensus, třeba v mém článku.
No právě. Když ten záznam bude mít jen u sebe, je mu celkem k ničemu. Aby ho měl ještě u někoho, musí ten někdo mít důvod ten záznam u sebe hostovat.Hostuje se distribuovaně v P2P.
V případě jaderné války možná. Ale v případě, že se někdo na jižní Moravě při konfiguraci Cisca uklepne a napíše o jednu nulu navíc, bude celkem nemilé, že se následkem toho zruší spousta domén a začne boj o to, komu se podaří svou registraci třeba Seznam.cz pomocí botnetů a masivních útoků prosadit do sítě.Ano, tohle je ten problém. Osobně bych takový systém považoval za bezpečný v případě, že k útoku bude potřeba řádově 2128 operací, což tady není a ani nemůže být. Proto se mi líbí adresování typu .onion - řeší dvě mouchy jednou ranou - DNS i ověření SSL certifikátu.
Myslel jsem, že to bude zřejmé z kontextu. Asi ne, tak ještě jednou podrobněji: Pokud má být údaj o tom, kdo byl první, jednoznačný a neměnný, musí o tom rozhodnout nějaká autorita. Pokud se spokojíte s tím, že za prvního je považován ten, kdo je zrovna silnější, pak autoritu opravdu nepotřebujete. Ale pak tomu neříkejte „první“, to v češtině znamená úplně něco jiného; říkejte tomu tak, jak je to doopravdy, tedy silnější/bohatší.O tom, kdo byl první, musí rozhodnout nějaká autorita, centrum. Bez toho to nejde – nejen v DNS, ale nikde, z principu.Přečtěte si něco o distributed network consensus, třeba v mém článku.
Hostuje se distribuovaně v P2P.Ono samo? Neřekl bych. Někdo na to musí poskytnout svou infrastrukturu, a pak si také může rozhodovat o tom, jaké domény na jeho infrastruktuře budou hostované. Takový Microsoft s tím nebude mít problém, ten si přítomnost na dostatečném počtu uzlů zaplatí. Ale Lucka96 se svým bložínkem asi bude mít smůlu, protože motivaci hostovat její záznam bude mít leda tak její ISP. A pak pár nadšenců do P2P DNS, u kterých ale budou chtít hostovat miliony bložínků, takže Lucka96 bude mít hodně malou šanci, že se její záznam u nějakého takového nadšence aspoň na pár minut uchytí. Takže nalezení DNS záznamu bložínku Lucka96 bude efektivně znamenat udělat anycastový dotaz na celý internet „neumíte někdo přeložit lucka96.blozinek.cz“? No, jako nápad, jak položit celý internet najednou, je to vlastně geniální…
Ale pak tomu neříkejte „první“, to v češtině znamená úplně něco jiného; říkejte tomu tak, jak je to doopravdy, tedy silnější/bohatší.Za to dneska nepříjde silnější (stát) a záznamy v DNS zůstávají na věky věků, dokdu je platíš registrátorovi, viď?
Za to dneska nepříjde silnější (stát) a záznamy v DNS zůstávají na věky věků, dokdu je platíš registrátorovi, viď?
Abychom si rozuměli: distribuovanou DNS bez centrální autority považuji za zajímavý nápad, který by se zajisté hodil, jen nevěřím, že kterákoliv ze zatím navržených implementací má šanci rozumně fungovat.Tak já až budu někdy zase v Praze, tak vás s Aničkou pozvu na večeři a než stihneme dojíst, tak ty určitě něco vymyslíš... :) Nebo se alespoň posuneme k definici klíčových požadavků na takový systém, protože pokud vím, tak do dneška nikdo nevypracoval ani analýzu, co by takový systém měl splňovat.
20.6.2012 20:18
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Občas se obávám, jestli takový systém lze bez nevýhod Bitcoin-like schémat vůbec udělat, a jestli nám to za to případně stojí.Já mám obavu o něco úplně jiného: rychlost decentralizovaného hledání. Kdysi jsem něco takového počítal pro distribuované indexování webu a vyšlo mi, že průměrná zátěž uzlu musí růst minimálně s druhou odmocninou celkového počtu uzlů, což je nejspíš příliš. U DNS by tomu mohly pomoci cache, ale pochybuji, že budou mít zase tak podstatný efekt na asymptotické chování celého systému. Chtělo by to, aby to někdo zkusil namodelovat pořádně.
Můžete uvést nějaký konkrétní případ, kdy výkonná moc státu takhle převzala nějakou doménu?Třeba tady a nebo tady?
Ideálně příklad z ČR?Na to jsou v ČR zatím moc malí páni a musejí se zatím spíš starat kde co rozkrást.
A můžete četnost případů porovnat s tím, kdy by si bohatá firma převzala jakýkoli záznam, který by se jí hodil?A ty tu četnost případů snad můžeš porovnat? Dokud nevíš jaká bude implemetace takové P2P DNS, tak těžko můžeš vědět jak náročná bude operace "registrace domény", případně "přeregistrace domény", uvolnění domény,... Třeba .onion adresy se dneska kradou běžně, viď?
Dokud nevíš jaká bude implemetace takové P2P DNS, tak těžko můžeš vědět jak náročná bude operace "registrace domény", případně "přeregistrace domény", uvolnění domény,...Úplně stačí vědět, že výpočetní náročnost takové operace bude stejná pro Luboše jako vlastníka AbcLinuxu.cz i pro Microsoft. Akorát že Microsoft má k dispozici asi tak milionkrát větší výpočetní výkon, než Luboš. Takže co se stane, když se v síti objeví požadavky na registraci AbcLinuxu.cz od Luboše i od Microsoftu? Microsoft vyhodí Lubošův požadavek ("dorazil pozdě") a začne počítat hash na svém clusteru. Luboš mu může zkusit konkurovat se svým jedním serverem. To, že bude hash počítat ještě někdo další, nemá na věc vliv - ty lze stejným způsobe ovlivnit pomocí počtu požadavků. A to jsem použil implementaci a la Bitcoin, takže by si každý uzel musel držet kompletní DNS strom, což by také byl pěkný bumbrlíček.
20.6.2012 20:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Přečtěte si něco o distributed network consensus, třeba v mém článku.Kde se tam o tom něco píše, tedy kromě triviální zmínky, že Bitcoin volí nejdelší řetězce (aniž by se diskutovalo, co se stane, když jich je víc).
20.6.2012 14:52
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Zadna vetsi cast site se neodpoji, neb pro zajisteni dostupnosti zaznamu si jaksi kazdy musi drzet spusteneho sveho klienta nebo jaksi mit ten zaznam "u nekoho", nehlede na to, ze v pripade jaderne valky mi asi bude celkem uprdele ze nefunguje DNS.Zaprvé i u IRC nebo Bitcoinu dochází k netsplitům. Tak to prostě je a bude. Naštěstí jsou většinou dost krátké, takže se to vždycky opraví samo. Zadruhé, funkčnost komunikací v případě války naopak považuji za velmi důležitou. Proto se mi taky nelíbí centralizovaná řešení, protože to prostě _jde_ sejmout.
20.6.2012 14:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A když dřív přijde víc zájemců, tak budeme mít v síti několik vlastníků jednoho DNS jména a adresy se budou různě přelévat, podle toho, která část sítě bude zrovna silnější?Praxe ukázala, že takové konflikty se většinou vyřeší do půl hodiny.
Když se odpojí větší část sítě (třeba kvůli chybě), tak se prostě část DNS záznamů zapomene a po opětovném připojení začnou registrace nanovo?Ano, toto je problém a je to jeden z hlavních důvodů, proč bych třeba Bitcoinu nikdy nesvěřil větší finanční částku po delší dobu. Ale netrpí podobným problémem i centralizované DNS?
Praxe ukázala, že takové konflikty se většinou vyřeší do půl hodiny.Zapomněl jste dodat maličkost – vyřeší se to tak, že silnější vyhraje. Takže když třeba nějaký blogger vydá článek, který bude nepohodlný pro vládu nebo Microsoft, nemusí s P2P DNS Microsoft tlačit na vládu a vláda složitě na registrátora domén. Jednoduše si MS nebo vláda na chvíli koupí nějakou výpočetní farmu a DNS záznam příslušného bloggera prostě násilím převezmou. Nebo-li v P2P DNS platí právo silnějšího, tedy bohatšího. Při masovém nasazení P2P DNS by se tedy cenzura ze strany bohatých neomezila, naopak by se jim významně usnadnila.
20.6.2012 20:13
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Není pro MS jednodušší místo počítání alternativního blockchainu poslat tomu bloggerovi třeba přes oblíbený DNS amplifikační útok terabitový dáreček?Nebude pro MS rozdíl, jestli se mu podaří AbcLinuxu.cz na pár hodin odstavit DDoSem, nebo zda se mu podaří doménu převzít a přesměrovat na windows.microsoft.com?
Zatím nebyl zaznamenán žádný případ útoku na Bitcoin, kdy by někdo provedl rollback transakce publikací alternativního blockchainu. A to se tam točí slušné peníze.Což je ale dost vzdálené útoku na registraci DNS názvu. Útok na registraci DNS by odpovídal publikaci blockchainu, který obsahuje jen jednu ze dvou transakcí provedených v krátkém časovém odstupu.
Praxe ukázala, že takové konflikty se většinou vyřeší do půl hodiny.O jaké praxi je řeč? O triviálním nasazení na malou množinu uzlů a záznamů? Nebo o něco relevantního, jako třeba matematický model nasazení na alespoň miliony uzlů se stovkami milionů záznamů?
20.6.2012 20:05
Jendа | skóre: 78
| blog: Jenda
| JO70FB
19.6.2012 14:16
deafboy | skóre: 1
19.6.2012 09:47
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
19.6.2012 11:06
AsciiWolf | skóre: 41
| blog: Blog
Americké úřady stojí v čele vlád, které požadují od firmy Google stále častěji, aby odstranila určité texty z internetu a aby vládám předala informace o lidech, kteří používají její vyhledávače, servery YouTube a další služby. "Je to znepokojující, nikoliv jen proto, že to ohrožuje svobodu projevu, ale protože některé tyto žádosti pocházejí ze zemí, od nichž byste to neočekávali - od západních demokracií, které nejsou typicky spojovány s cenzurou," uvedla Dorothy Chou, čelná analytička firmy Google.
cenzuru tohoto druhuA co jiné druhy cenzury, jako podvrhávání DNS na rekurzorech, nebo zařezávání spojení na firewallech či RST útoky? Což jsou věci, které se dějí v Evropě a v USA. Ty jsou v pořádku?
19.6.2012 23:52
pavlix | skóre: 54
| blog: pavlix
Podvrhávání DNS na rekurzorech je řešitelné lokální validací DNSSECu na klientech, kam se pomalu ale jistě přesunuje.A kde mělo od začátku být. Na Fedoře 17 už to umíme...
yum install dnssec-triggerJenom pozor na to, se spoustou věcí to není kompatibilní (naposled mi to rozbilo VPN).
20.6.2012 19:08
tsLnox | skóre: 31
| blog: Blog jednoho ukecaného Gentoolemana
| Žďár nad Sázavou
Já se jmenuju Japepa a mám moc rád jabka!
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
