Skip to content

Попытка ответить на вопрос о резольверах, проверяющих домены из списка РКН

Notifications You must be signed in to change notification settings

darkk/where-is-resolver

Repository files navigation

Где резольвер, Лебовски?

В данном репозитории лежат скрипты и конфигурационные файлы для нескольких доменов из списка РКН.

Эти домены выбраны исходя из следующего принципа: пара доменов для https-записей, пара для http и пара для записей вообще без URL-ов.

Цель регистрации доменов из "чёрного списка" не так называемая DNS-атака, а попытка понять, какие провайдеры производят DNS-резолвинг при обработке выгрузки РКН, а какие — нет.

Для предотвращения "атаки" предприняты следующие меры:

  1. для доменов с "малым" числом IP адресов используются уже указанные в выгрузке для соответствующих доменов IP адреса
  2. для доменов с "большим" числом IP адресов используются случайные 2048 IP адреса указанные в выгрузке для каких-либо доменов

Таким образом, множество IP-адресов, в которые резольвится выгрузка, от этих доменов не должен как-либо измениться.

Но какое-то количество багов всё же было стриггерено:

  1. Никто не ожидает испанский CERT, у которого случилось ложное срабатывание автоматики на один из доменов.
  2. В dnspython есть квадратичная деградация производительности на ответах с большим числом однотипных RR.

About

Попытка ответить на вопрос о резольверах, проверяющих домены из списка РКН

Topics

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published