http://unixlinux.tmit.bme.hu/index.php/A_DNS_m%C5%B1k%C3%B6d%C3%A9se?feed=atom&action=history A DNS működése - Laptörténet 2024-03-29T11:51:29Z Az oldal laptörténete a wikiben MediaWiki 1.19.3-1 //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5946&oldid=prev KornAndras: /* Reverse DNS, classless delegáció */ döglött link helyett web.archive.org-os 2020-07-27T10:16:03Z <p>‎<span dir="auto"><span class="autocomment">Reverse DNS, classless delegáció: </span> döglött link helyett web.archive.org-os</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2020. július 27., 10:16-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">354. sor:</td> <td colspan="2" class="diff-lineno">354. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Még a BIND-felhasználók is megúszhatnák a sok zónafájlt; pl. megtehetnék, hogy a reverse DNS szempontjából felkerekítik a hálózatuk netmaskját a legközelebbi nyolccal oszthatóra (tehát 24-esre, 16-osra vagy 8-asra), és az ebből adódó reverse zónát veszik fel a konfigurációba. A fenti példában pl. a BIND-felhasználó beállíthatta volna a BIND-ját úgy, hogy az egész 3.2.1.in-addr.arpa domainre képzelje magát autoritatívnak; ebben a domainben aztán csak a két konkrét IP-hez tartozó rekordokat venné fel. Ez ugyan nem "szép" (például mert az NS rekordokkal delegált, egy-egy PTR rekordot tartalmazó "domaineknek" nem lenne SOA rekordja), de működik; ha valaki ki tud találni olyan értelmes támadást, amely ezt a hazugságot aknázza ki, akkor árulja el, mi az.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Még a BIND-felhasználók is megúszhatnák a sok zónafájlt; pl. megtehetnék, hogy a reverse DNS szempontjából felkerekítik a hálózatuk netmaskját a legközelebbi nyolccal oszthatóra (tehát 24-esre, 16-osra vagy 8-asra), és az ebből adódó reverse zónát veszik fel a konfigurációba. A fenti példában pl. a BIND-felhasználó beállíthatta volna a BIND-ját úgy, hogy az egész 3.2.1.in-addr.arpa domainre képzelje magát autoritatívnak; ebben a domainben aztán csak a két konkrét IP-hez tartozó rekordokat venné fel. Ez ugyan nem "szép" (például mert az NS rekordokkal delegált, egy-egy PTR rekordot tartalmazó "domaineknek" nem lenne SOA rekordja), de működik; ha valaki ki tud találni olyan értelmes támadást, amely ezt a hazugságot aknázza ki, akkor árulja el, mi az.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Növel(het)i a DNS reakcióidejét, mivel több kérésre van/lehet szükség a válasz megszerzéséhez.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Növel(het)i a DNS reakcióidejét, mivel több kérésre van/lehet szükség a válasz megszerzéséhez.</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>* Azáltal, hogy a reverse-rekordok neve nem generálható szisztematikusan, az [http://www.faqs.org/rfcs/rfc1035.html RFC1035]-ben leírt módon, az IP-címből, számos DNS-szoftver bizonyos kényelmi szolgáltatásai használhatatlanná válnak (l. [http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/avoid-rfc-2317-delegation.html Avoid RFC 2317 style delegation of "in-addr.arpa."]).</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>* Azáltal, hogy a reverse-rekordok neve nem generálható szisztematikusan, az [http://www.faqs.org/rfcs/rfc1035.html RFC1035]-ben leírt módon, az IP-címből, számos DNS-szoftver bizonyos kényelmi szolgáltatásai használhatatlanná válnak (l. [<span class="diffchange diffchange-inline">http://web.archive.org/web/20160604094912/</span>http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/avoid-rfc-2317-delegation.html Avoid RFC 2317 style delegation of "in-addr.arpa."]).</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Gyakori gondok a DNS-sel ==</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Gyakori gondok a DNS-sel ==</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5942&oldid=prev KornAndras: /* Gyakorlati tanácsok */ a .hu-ról szóló részt kicsit finomítottam, frissítettem 2017-12-06T10:45:46Z <p>‎<span dir="auto"><span class="autocomment">Gyakorlati tanácsok: </span> a .hu-ról szóló részt kicsit finomítottam, frissítettem</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2017. december 6., 10:45-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">749. sor:</td> <td colspan="2" class="diff-lineno">749. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>A valóságban nemcsak technikai, hanem ügyviteli, emberi és jogi problémákkal is találkozhatunk, ha domainjeink vannak. Néhány trükkel ezeknek a hatásai csökkenthetők.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>A valóságban nemcsak technikai, hanem ügyviteli, emberi és jogi problémákkal is találkozhatunk, ha domainjeink vannak. Néhány trükkel ezeknek a hatásai csökkenthetők.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>* Legyen legalább két, de inkább több névszerverünk. Egy autoritatív szerver nem túl erőforrásigényes; ha úgyis van hosztolt gépünk, vagy akár fix IP-s DSL-ünk, bérelt vonalunk stb., tegyünk rá egy DNS-szervert.</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>* Legyen legalább két, de inkább több névszerverünk. Egy autoritatív szerver nem túl erőforrásigényes; ha úgyis van hosztolt gépünk, vagy akár fix IP-s DSL-ünk, bérelt vonalunk stb., tegyünk rá egy DNS-szervert<span class="diffchange diffchange-inline">. Ha akarjuk, havi egy euróért már bérelhetünk egy olyan virtuális szervert, ami alkalmas erre</span>.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* A névszervereink IP-ihez több különböző domainbe tartozó név is tartozzon.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* A névszervereink IP-ihez több különböző domainbe tartozó név is tartozzon.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Pl. a.ns.domain1.com; a.ns.domain2.net; a.ns.domain3.hu és ugyanez b-vel.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Pl. a.ns.domain1.com; a.ns.domain2.net; a.ns.domain3.hu és ugyanez b-vel.</div></td> </tr> <tr> <td colspan="2" class="diff-lineno">755. sor:</td> <td colspan="2" class="diff-lineno">755. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Igazából egyetlen név is elég lenne, több IP-vel, de bizonyos TLD-k ragaszkodhatnak ahhoz, hogy két különböző nevű DNS-szerverünk legyen.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Igazából egyetlen név is elég lenne, több IP-vel, de bizonyos TLD-k ragaszkodhatnak ahhoz, hogy két különböző nevű DNS-szerverünk legyen.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Ha domaint jegyzünk be, a glue érdekében legyen olyan nameservere is, ami része a domainnek (tehát, ha mondjuk a pelda.hu-t jegyezzuk be, akkor legyen mondjuk a.ns.pelda.hu és b.ns.pelda.hu), de a domainen kívüli is, olyan domainben, amiben könnyen tudjuk módosítani a névszerverekhez tartozó IP-t (pl. a.ns.pelda.org ill. b.ns.pelda.org).</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Ha domaint jegyzünk be, a glue érdekében legyen olyan nameservere is, ami része a domainnek (tehát, ha mondjuk a pelda.hu-t jegyezzuk be, akkor legyen mondjuk a.ns.pelda.hu és b.ns.pelda.hu), de a domainen kívüli is, olyan domainben, amiben könnyen tudjuk módosítani a névszerverekhez tartozó IP-t (pl. a.ns.pelda.org ill. b.ns.pelda.org).</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>** A .hu <span class="diffchange diffchange-inline">zónában</span> az igénylés <span class="diffchange diffchange-inline">(</span>és <span class="diffchange diffchange-inline">tulajdonos</span> <span class="diffchange diffchange-inline">váltás)</span> viszonylag bürokratikus<span class="diffchange diffchange-inline">,</span> <span class="diffchange diffchange-inline">azonban</span> <span class="diffchange diffchange-inline">ennek</span> előnyei is vannak<span class="diffchange diffchange-inline">.</span> <span class="diffchange diffchange-inline">Nem</span> történhet meg olyan eset, mint például a [http://domaingang.com/domain-crime/alert-hix-com-is-a-stolen-domain-name-currently/ a hix.com]-al. A <span class="diffchange diffchange-inline">névszerver</span> <span class="diffchange diffchange-inline">módosítás</span> <span class="diffchange diffchange-inline">azonban</span> az ISZT<span class="diffchange diffchange-inline">-nél</span> automatizált, néhány órán belül megtörténik. <span class="diffchange diffchange-inline">Tehát</span> <span class="diffchange diffchange-inline">csak</span> a <span class="diffchange diffchange-inline">regisztrátortól</span> <span class="diffchange diffchange-inline">függ</span>, <span class="diffchange diffchange-inline">hogy</span> <span class="diffchange diffchange-inline">milyen</span> <span class="diffchange diffchange-inline">lehetőséget,</span> <span class="diffchange diffchange-inline">felület</span> <span class="diffchange diffchange-inline">biztosít</span> <span class="diffchange diffchange-inline">ehhez</span>. <span class="diffchange diffchange-inline">Egyes</span> <span class="diffchange diffchange-inline">regisztrátorok</span> <span class="diffchange diffchange-inline">által</span> <span class="diffchange diffchange-inline">nyújtott</span> <span class="diffchange diffchange-inline">szolgáltatásban</span> <span class="diffchange diffchange-inline">sok</span> <span class="diffchange diffchange-inline">eltérés</span> <span class="diffchange diffchange-inline">lehet</span>, <span class="diffchange diffchange-inline">ezért</span> <span class="diffchange diffchange-inline">gondosan</span> kell <span class="diffchange diffchange-inline">megválasztani.</span> <span class="diffchange diffchange-inline">A</span> .<span class="diffchange diffchange-inline">hu</span> <span class="diffchange diffchange-inline">regisztrátor</span> a <span class="diffchange diffchange-inline">bejegyzés</span> <span class="diffchange diffchange-inline">után</span>, <span class="diffchange diffchange-inline">bármikor</span> <span class="diffchange diffchange-inline">változtatható</span>.</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>** A .hu <span class="diffchange diffchange-inline">zóna régebben nagyon bürokratikusan működött; nehézkes és lassú volt a domainek bejegyzése és például a névszerverekhez tartozó glue frissítése, vagy a névszerverek listájának módosítása. A folyamatok mára karcsúsodtak: 2017. végén már csak</span> az igénylés és <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">tulajdonosváltás</span> viszonylag bürokratikus <span class="diffchange diffchange-inline">(kellhet hozzá például aláírási címpéldány).</span> <span class="diffchange diffchange-inline">Ennek</span> előnyei is vannak<span class="diffchange diffchange-inline">:</span> <span class="diffchange diffchange-inline">nem</span> történhet meg olyan eset, mint például a [http://domaingang.com/domain-crime/alert-hix-com-is-a-stolen-domain-name-currently/ a hix.com]-al. A <span class="diffchange diffchange-inline">névszerverek</span> <span class="diffchange diffchange-inline">listájának</span> <span class="diffchange diffchange-inline">módosítása</span> az ISZT<span class="diffchange diffchange-inline"> oldalán</span> automatizált, néhány órán belül megtörténik<span class="diffchange diffchange-inline"> (ezzel a </span>.<span class="diffchange diffchange-inline">hu</span> <span class="diffchange diffchange-inline">messze</span> <span class="diffchange diffchange-inline">nincs</span> a <span class="diffchange diffchange-inline">TLD-k</span> <span class="diffchange diffchange-inline">élvonalában</span>, <span class="diffchange diffchange-inline">de</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">párórás</span> <span class="diffchange diffchange-inline">reakcióidő</span> <span class="diffchange diffchange-inline">többnyire</span> <span class="diffchange diffchange-inline">kibírható)</span>. <span class="diffchange diffchange-inline">Ehhez</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">néhány</span> <span class="diffchange diffchange-inline">órához</span> <span class="diffchange diffchange-inline">hozzáadódik</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">regisztrátor</span> <span class="diffchange diffchange-inline">üzleti folyamatainak időigénye; van olyan regisztrátor</span>, <span class="diffchange diffchange-inline">aki</span> <span class="diffchange diffchange-inline">lehetővé teszi, hogy webes felületen magunknak kattintgassuk át a zónánk adatait, másoknál esetleg papírozni</span> kell <span class="diffchange diffchange-inline">ehhez,</span> <span class="diffchange diffchange-inline">ne</span> <span class="diffchange diffchange-inline">adj' Isten faxolni is</span>. <span class="diffchange diffchange-inline">Érdemes gondosan választani regisztrátort; nem biztos, hogy</span> a <span class="diffchange diffchange-inline">nagyok</span> <span class="diffchange diffchange-inline">jobbak</span>, <span class="diffchange diffchange-inline">mint a kicsik. Szerencsére viszonylag könnyen átmehetünk másikhoz, ha az első nem</span> <span class="diffchange diffchange-inline">tetszik</span>.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az a.ns.pelda.org és az a.ns.pelda.hu IP-i nyilván lehetnek azonosak.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az a.ns.pelda.org és az a.ns.pelda.hu IP-i nyilván lehetnek azonosak.</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>** Az egésznek az az értelme, hogy ha pl. a szolgáltatónk megváltoztatja az IP-címünket, akkor ne <span class="diffchange diffchange-inline">kelljen</span> <span class="diffchange diffchange-inline">egy</span> <span class="diffchange diffchange-inline">napig</span> <span class="diffchange diffchange-inline">várni</span>. Az a.ns.pelda.org és a b.ns.pelda.org IP-jének átírásával perceken belül újra feloldhatóvá <span class="diffchange diffchange-inline">tehetj-k</span> a domaint. <span class="diffchange diffchange-inline">A</span> .hu zónában <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">névszerver</span> változtatás <span class="diffchange diffchange-inline">néhány</span> <span class="diffchange diffchange-inline">óra</span> <span class="diffchange diffchange-inline">alatt</span> <span class="diffchange diffchange-inline">átvezethető</span>, <span class="diffchange diffchange-inline">azonban</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">TTL</span> <span class="diffchange diffchange-inline">miatt</span> <span class="diffchange diffchange-inline">(tipikusan</span> <span class="diffchange diffchange-inline">egy</span> <span class="diffchange diffchange-inline">nap)</span> <span class="diffchange diffchange-inline">ez</span> <span class="diffchange diffchange-inline">esetleg</span> <span class="diffchange diffchange-inline">lassabban</span> <span class="diffchange diffchange-inline">terjedhet</span> <span class="diffchange diffchange-inline">el.</span> </div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>** Az egésznek az az értelme, hogy ha pl. a szolgáltatónk<span class="diffchange diffchange-inline"> hirtelen</span> megváltoztatja az IP-címünket, akkor ne <span class="diffchange diffchange-inline">egyetlen</span> <span class="diffchange diffchange-inline">TLD</span> <span class="diffchange diffchange-inline">rugalmasságától, működési sebességétől függjön, milyen hamar tudjuk újra elérhetővé tenni a</span> <span class="diffchange diffchange-inline">domainünket</span>. Az a.ns.pelda.org és a b.ns.pelda.org IP-jének átírásával perceken belül<span class="diffchange diffchange-inline"> általában</span> újra feloldhatóvá <span class="diffchange diffchange-inline">tehetjük</span> a domaint. <span class="diffchange diffchange-inline">Utána már nem baj, hogy a</span> .hu zónában <span class="diffchange diffchange-inline">órás</span> <span class="diffchange diffchange-inline">nagyságrendű időbe telik a</span> változtatás<span class="diffchange diffchange-inline">.</span> <span class="diffchange diffchange-inline">(Persze</span> <span class="diffchange diffchange-inline">azok</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">kliensek</span>, <span class="diffchange diffchange-inline">akiknek</span> <span class="diffchange diffchange-inline">megvan</span> <span class="diffchange diffchange-inline">cache-ben</span> <span class="diffchange diffchange-inline">az</span> <span class="diffchange diffchange-inline">előző</span> <span class="diffchange diffchange-inline">NS</span> <span class="diffchange diffchange-inline">IP,</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">TTL</span> <span class="diffchange diffchange-inline">lejártáig</span> <span class="diffchange diffchange-inline">még</span> <span class="diffchange diffchange-inline">próbálkozhatnak</span> <span class="diffchange diffchange-inline">a régi IP-n.)</span></div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Emiatt aztán az se baj, ha arra is vigyázunk, hogy minden domainünknek legyen olyan nevű névszervere, ami olyan domainbe tartozik, amit ''másik regisztrátornál'' jegyeztettünk be, hogy ha az első regisztrátor webes felülete azon a napon, amikor kéne, épp nem működik, a másikon keresztül átírhassuk a ("másik") névszerver IP-jét.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Emiatt aztán az se baj, ha arra is vigyázunk, hogy minden domainünknek legyen olyan nevű névszervere, ami olyan domainbe tartozik, amit ''másik regisztrátornál'' jegyeztettünk be, hogy ha az első regisztrátor webes felülete azon a napon, amikor kéne, épp nem működik, a másikon keresztül átírhassuk a ("másik") névszerver IP-jét.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Ehhez nem kell sok névszerver, mert akár ugyanazt a névszervert is szerepeltethetjük több különböző néven.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Ehhez nem kell sok névszerver, mert akár ugyanazt a névszervert is szerepeltethetjük több különböző néven.</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5941&oldid=prev Lajbi: /* Gyakorlati tanácsok */ 2017-12-06T10:05:39Z <p>‎<span dir="auto"><span class="autocomment">Gyakorlati tanácsok</span></span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2017. december 6., 10:05-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">755. sor:</td> <td colspan="2" class="diff-lineno">755. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Igazából egyetlen név is elég lenne, több IP-vel, de bizonyos TLD-k ragaszkodhatnak ahhoz, hogy két különböző nevű DNS-szerverünk legyen.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Igazából egyetlen név is elég lenne, több IP-vel, de bizonyos TLD-k ragaszkodhatnak ahhoz, hogy két különböző nevű DNS-szerverünk legyen.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Ha domaint jegyzünk be, a glue érdekében legyen olyan nameservere is, ami része a domainnek (tehát, ha mondjuk a pelda.hu-t jegyezzuk be, akkor legyen mondjuk a.ns.pelda.hu és b.ns.pelda.hu), de a domainen kívüli is, olyan domainben, amiben könnyen tudjuk módosítani a névszerverekhez tartozó IP-t (pl. a.ns.pelda.org ill. b.ns.pelda.org).</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Ha domaint jegyzünk be, a glue érdekében legyen olyan nameservere is, ami része a domainnek (tehát, ha mondjuk a pelda.hu-t jegyezzuk be, akkor legyen mondjuk a.ns.pelda.hu és b.ns.pelda.hu), de a domainen kívüli is, olyan domainben, amiben könnyen tudjuk módosítani a névszerverekhez tartozó IP-t (pl. a.ns.pelda.org ill. b.ns.pelda.org).</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>** A .hu zónában az igénylés (és tulajdonos váltás) viszonylag bürokratikus, azonban ennek előnyei is vannak. Nem történhet meg olyan eset, mint például a [http://domaingang.com/domain-crime/alert-hix-com-is-a-stolen-domain-name-currently/ a hix.com]-al.</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>** A .hu zónában az igénylés (és tulajdonos váltás) viszonylag bürokratikus, azonban ennek előnyei is vannak. Nem történhet meg olyan eset, mint például a [http://domaingang.com/domain-crime/alert-hix-com-is-a-stolen-domain-name-currently/ a hix.com]-al<span class="diffchange diffchange-inline">. A névszerver módosítás azonban az ISZT-nél automatizált, néhány órán belül megtörténik. Tehát csak a regisztrátortól függ, hogy milyen lehetőséget, felület biztosít ehhez. Egyes regisztrátorok által nyújtott szolgáltatásban sok eltérés lehet, ezért gondosan kell megválasztani. A .hu regisztrátor a bejegyzés után, bármikor változtatható</span>.</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>A névszerver módosítás azonban az ISZT-nél automatizált, néhány órán belül megtörténik. Tehát csak a regisztrátortól függ, hogy milyen lehetőséget, felület biztosít ehhez. Egyes regisztrátorok által nyújtott szolgáltatásban sok eltérés lehet, ezért gondosan kell megválasztani. A .hu regisztrátor a bejegyzés után, bármikor változtatható.</div></td> <td colspan="2" class="diff-empty">&#160;</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az a.ns.pelda.org és az a.ns.pelda.hu IP-i nyilván lehetnek azonosak.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az a.ns.pelda.org és az a.ns.pelda.hu IP-i nyilván lehetnek azonosak.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az egésznek az az értelme, hogy ha pl. a szolgáltatónk megváltoztatja az IP-címünket, akkor ne kelljen egy napig várni. Az a.ns.pelda.org és a b.ns.pelda.org IP-jének átírásával perceken belül újra feloldhatóvá tehetj-k a domaint. A .hu zónában a névszerver változtatás néhány óra alatt átvezethető, azonban a TTL miatt (tipikusan egy nap) ez esetleg lassabban terjedhet el. </div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az egésznek az az értelme, hogy ha pl. a szolgáltatónk megváltoztatja az IP-címünket, akkor ne kelljen egy napig várni. Az a.ns.pelda.org és a b.ns.pelda.org IP-jének átírásával perceken belül újra feloldhatóvá tehetj-k a domaint. A .hu zónában a névszerver változtatás néhány óra alatt átvezethető, azonban a TTL miatt (tipikusan egy nap) ez esetleg lassabban terjedhet el. </div></td> </tr> </table> Lajbi //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5940&oldid=prev Lajbi: /* Gyakorlati tanácsok */ 2017-12-06T10:04:10Z <p>‎<span dir="auto"><span class="autocomment">Gyakorlati tanácsok</span></span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2017. december 6., 10:04-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">755. sor:</td> <td colspan="2" class="diff-lineno">755. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Igazából egyetlen név is elég lenne, több IP-vel, de bizonyos TLD-k ragaszkodhatnak ahhoz, hogy két különböző nevű DNS-szerverünk legyen.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Igazából egyetlen név is elég lenne, több IP-vel, de bizonyos TLD-k ragaszkodhatnak ahhoz, hogy két különböző nevű DNS-szerverünk legyen.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Ha domaint jegyzünk be, a glue érdekében legyen olyan nameservere is, ami része a domainnek (tehát, ha mondjuk a pelda.hu-t jegyezzuk be, akkor legyen mondjuk a.ns.pelda.hu és b.ns.pelda.hu), de a domainen kívüli is, olyan domainben, amiben könnyen tudjuk módosítani a névszerverekhez tartozó IP-t (pl. a.ns.pelda.org ill. b.ns.pelda.org).</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Ha domaint jegyzünk be, a glue érdekében legyen olyan nameservere is, ami része a domainnek (tehát, ha mondjuk a pelda.hu-t jegyezzuk be, akkor legyen mondjuk a.ns.pelda.hu és b.ns.pelda.hu), de a domainen kívüli is, olyan domainben, amiben könnyen tudjuk módosítani a névszerverekhez tartozó IP-t (pl. a.ns.pelda.org ill. b.ns.pelda.org).</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>** A .hu <span class="diffchange diffchange-inline">zóna</span> az <span class="diffchange diffchange-inline">egyik legbürokratikusabb, amit ismerek: sokat kell papírozni a domain-igényléshez</span> és <span class="diffchange diffchange-inline">nem</span> <span class="diffchange diffchange-inline">ritkán</span> <span class="diffchange diffchange-inline">a módosításokhoz is.</span> <span class="diffchange diffchange-inline">Emiatt</span>, <span class="diffchange diffchange-inline">noha</span> <span class="diffchange diffchange-inline">műszaki</span> <span class="diffchange diffchange-inline">szempontból</span> <span class="diffchange diffchange-inline">nem</span> <span class="diffchange diffchange-inline">helyes,</span> <span class="diffchange diffchange-inline">érdemes</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">fentiek</span> <span class="diffchange diffchange-inline">szerint</span> <span class="diffchange diffchange-inline">részben glueless delegációt kérni</span>, <span class="diffchange diffchange-inline">tehát</span> <span class="diffchange diffchange-inline">.hu-n kívüli névszervereket (is) bejegyeztetni</span> a .<span class="diffchange diffchange-inline">hu</span>-<span class="diffchange diffchange-inline">s domainünkhöz; ezeknek az IP</span>-<span class="diffchange diffchange-inline">jét ugyanis </span>a<span class="diffchange diffchange-inline"> külföldi regisztrátor webes felületén egy kattintással át tudjuk írni, míg a .hu</span>-<span class="diffchange diffchange-inline">ban névszerver</span>-<span class="diffchange diffchange-inline">IP-t frissíteni sokkal nehezebb (talán még faxot is kell hozzá küldeni) </span>-- <span class="diffchange diffchange-inline">és főként lassúbb</span> -<span class="diffchange diffchange-inline">- folyamat</span>.</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>** A .hu <span class="diffchange diffchange-inline">zónában</span> az <span class="diffchange diffchange-inline">igénylés</span> <span class="diffchange diffchange-inline">(</span>és <span class="diffchange diffchange-inline">tulajdonos</span> <span class="diffchange diffchange-inline">váltás)</span> <span class="diffchange diffchange-inline">viszonylag</span> <span class="diffchange diffchange-inline">bürokratikus</span>, <span class="diffchange diffchange-inline">azonban</span> <span class="diffchange diffchange-inline">ennek</span> <span class="diffchange diffchange-inline">előnyei</span> <span class="diffchange diffchange-inline">is</span> <span class="diffchange diffchange-inline">vannak.</span> <span class="diffchange diffchange-inline">Nem</span> <span class="diffchange diffchange-inline">történhet</span> <span class="diffchange diffchange-inline">meg</span> <span class="diffchange diffchange-inline">olyan</span> <span class="diffchange diffchange-inline">eset</span>, <span class="diffchange diffchange-inline">mint</span> <span class="diffchange diffchange-inline">például</span> a <span class="diffchange diffchange-inline">[http://domaingang</span>.<span class="diffchange diffchange-inline">com/domain</span>-<span class="diffchange diffchange-inline">crime/alert-hix-com-is</span>-a-<span class="diffchange diffchange-inline">stolen</span>-<span class="diffchange diffchange-inline">domain</span>-<span class="diffchange diffchange-inline">name</span>-<span class="diffchange diffchange-inline">currently/</span> <span class="diffchange diffchange-inline">a</span> <span class="diffchange diffchange-inline">hix.com]</span>-<span class="diffchange diffchange-inline">al</span>.</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>A névszerver módosítás azonban az ISZT-nél automatizált, néhány órán belül megtörténik. Tehát csak a regisztrátortól függ, hogy milyen lehetőséget, felület biztosít ehhez. Egyes regisztrátorok által nyújtott szolgáltatásban sok eltérés lehet, ezért gondosan kell megválasztani. A .hu regisztrátor a bejegyzés után, bármikor változtatható.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az a.ns.pelda.org és az a.ns.pelda.hu IP-i nyilván lehetnek azonosak.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Az a.ns.pelda.org és az a.ns.pelda.hu IP-i nyilván lehetnek azonosak.</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>** Az egésznek az az értelme, hogy ha pl. a szolgáltatónk megváltoztatja az IP-címünket, akkor ne kelljen egy napig várni<span class="diffchange diffchange-inline"> a magyar regisztrátorra és az ISZT-re, amíg átírják a </span>.<span class="diffchange diffchange-inline">hu</span> <span class="diffchange diffchange-inline">zónában a névszervereket, hanem az</span> a.ns.pelda.org és a b.ns.pelda.org IP-jének átírásával perceken belül újra feloldhatóvá <span class="diffchange diffchange-inline">tegyük</span> a domaint.</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>** Az egésznek az az értelme, hogy ha pl. a szolgáltatónk megváltoztatja az IP-címünket, akkor ne kelljen egy napig várni. <span class="diffchange diffchange-inline">Az</span> a.ns.pelda.org és a b.ns.pelda.org IP-jének átírásával perceken belül újra feloldhatóvá <span class="diffchange diffchange-inline">tehetj-k</span> a domaint.<span class="diffchange diffchange-inline"> A .hu zónában a névszerver változtatás néhány óra alatt átvezethető, azonban a TTL miatt (tipikusan egy nap) ez esetleg lassabban terjedhet el. </span></div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Emiatt aztán az se baj, ha arra is vigyázunk, hogy minden domainünknek legyen olyan nevű névszervere, ami olyan domainbe tartozik, amit ''másik regisztrátornál'' jegyeztettünk be, hogy ha az első regisztrátor webes felülete azon a napon, amikor kéne, épp nem működik, a másikon keresztül átírhassuk a ("másik") névszerver IP-jét.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>** Emiatt aztán az se baj, ha arra is vigyázunk, hogy minden domainünknek legyen olyan nevű névszervere, ami olyan domainbe tartozik, amit ''másik regisztrátornál'' jegyeztettünk be, hogy ha az első regisztrátor webes felülete azon a napon, amikor kéne, épp nem működik, a másikon keresztül átírhassuk a ("másik") névszerver IP-jét.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Ehhez nem kell sok névszerver, mert akár ugyanazt a névszervert is szerepeltethetjük több különböző néven.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Ehhez nem kell sok névszerver, mert akár ugyanazt a névszervert is szerepeltethetjük több különböző néven.</div></td> </tr> </table> Lajbi //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5918&oldid=prev KornAndras: /* Fogalmak */ root-servers.org térkép url változott 2015-07-24T15:48:53Z <p>‎<span dir="auto"><span class="autocomment">Fogalmak: </span> root-servers.org térkép url változott</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2015. július 24., 15:48-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">12. sor:</td> <td colspan="2" class="diff-lineno">12. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>''Root server''. A gyökérdomainért jelenleg (2009. végén) 13 szerver felelős, amelyek a világ számos táján helyezkednek el. Ezeknek az IP-címét minden DNS-kliens ismeri (igazából csak a rekurzív feloldásra képes kliensek; l. később). Ezek a szerverek elvileg minden DNS-kérésre tudják a választ, vagy ha magát a választ nem is, azt igen, hogy kinél (melyik másik szervernél) kell továbbérdeklődni.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>''Root server''. A gyökérdomainért jelenleg (2009. végén) 13 szerver felelős, amelyek a világ számos táján helyezkednek el. Ezeknek az IP-címét minden DNS-kliens ismeri (igazából csak a rekurzív feloldásra képes kliensek; l. később). Ezek a szerverek elvileg minden DNS-kérésre tudják a választ, vagy ha magát a választ nem is, azt igen, hogy kinél (melyik másik szervernél) kell továbbérdeklődni.</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>* A valóságban nem 13 egyedi szerverről van szó, hanem 13 látszólag egyedi IP-címről, amelyek mindegyikével egynél több számítógép is rendelkezik; 13-nál lényesen több root szerver van, de IP-címeik alapján 13 csoportba rendeződnek. Ha valamelyik csoportot megcímezzük, a hálózati topológia függvénye, hogy az adott csoport címét viselő konkrét szerverpéldányok közül melyik fog nekünk válaszolni. A root-servers.org honlapján közzétett [http://www.root-servers.org<span class="diffchange diffchange-inline">/map</span>/ térképen] megnézhetjük, hol helyezkednek el a root serverek a Földön.</div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>* A valóságban nem 13 egyedi szerverről van szó, hanem 13 látszólag egyedi IP-címről, amelyek mindegyikével egynél több számítógép is rendelkezik; 13-nál lényesen több root szerver van, de IP-címeik alapján 13 csoportba rendeződnek. Ha valamelyik csoportot megcímezzük, a hálózati topológia függvénye, hogy az adott csoport címét viselő konkrét szerverpéldányok közül melyik fog nekünk válaszolni. A root-servers.org honlapján közzétett [http://www.root-servers.org/ térképen] megnézhetjük, hol helyezkednek el a root serverek a Földön.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>''TLD''. Top-level domain. A közvetlenül a gyökér alatt elhelyezkedő domaineket hívják így; pl. ".com", ".hu" stb.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>''TLD''. Top-level domain. A közvetlenül a gyökér alatt elhelyezkedő domaineket hívják így; pl. ".com", ".hu" stb.</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5888&oldid=prev KornAndras: /* Ajánlott irodalom */ új link: http://www.your.org/dnscache/djbdns.pdf 2014-12-13T22:58:12Z <p>‎<span dir="auto"><span class="autocomment">Ajánlott irodalom: </span> új link: http://www.your.org/dnscache/djbdns.pdf</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2014. december 13., 22:58-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">782. sor:</td> <td colspan="2" class="diff-lineno">782. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* A DNSSEC működéséhez: az [http://blog.dest-unreach.be/2010/01/17/dnssec-the-rrsig-record RRSIG], az [http://blog.dest-unreach.be/2010/01/20/dnssec-the-nsec-and-nsec3-record NSEC, az NSEC3], a [http://blog.dest-unreach.be/2010/01/22/dnssec-the-dnskey-and-ds-record DNSKEY és a DS] rekordról.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* A DNSSEC működéséhez: az [http://blog.dest-unreach.be/2010/01/17/dnssec-the-rrsig-record RRSIG], az [http://blog.dest-unreach.be/2010/01/20/dnssec-the-nsec-and-nsec3-record NSEC, az NSEC3], a [http://blog.dest-unreach.be/2010/01/22/dnssec-the-dnskey-and-ds-record DNSKEY és a DS] rekordról.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Arról, [http://dnscurve.org/forgery.html mennyire könnyű hamisítani a DNS-válaszokat], hogy ennek milyen következményei vannak és hogy mi mennyire (nem) véd ez ellen.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Arról, [http://dnscurve.org/forgery.html mennyire könnyű hamisítani a DNS-válaszokat], hogy ennek milyen következményei vannak és hogy mi mennyire (nem) véd ez ellen.</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>* [http://www.your.org/dnscache/djbdns.pdf Kevin Day: Rapid DNS Poisoning in djbdns], 2009. február 9 (letöltve: 2014-12-13). A cikk pár szofisztikált cache poisoning támadást és az ellenük való védekezés egy-egy lehetséges módját mutatja be. Kiderül pl., miért könnyíti a támadó dolgát, ha a recursive resolver hajlandó több szálon egyszerre megkísérelni ugyanazt a névfeloldást, vagy hogy miért helytelen, ha a SOA rekordokat nem cache-eljük.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Potenciális zh-kérdések ==</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Potenciális zh-kérdések ==</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5835&oldid=prev KornAndras: /* Kísérletek a DNS biztonságának fokozására */ új link: http://threatpost.com/phony-order-faxed-to-registrar-leads-to-metasploit-defacement/102576 2013-10-11T21:31:24Z <p>‎<span dir="auto"><span class="autocomment">Kísérletek a DNS biztonságának fokozására: </span> új link: http://threatpost.com/phony-order-faxed-to-registrar-leads-to-metasploit-defacement/102576</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2013. október 11., 21:31-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">639. sor:</td> <td colspan="2" class="diff-lineno">639. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Kísérletek a DNS biztonságának fokozására ==</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Kísérletek a DNS biztonságának fokozására ==</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>(Megjegyzendő, hogy ahogy az IT más területein, itt sem feltétlenül az informatikai komponensek a legsebezhetőbbek. 2013. októberében például [http://threatpost.com/phony-order-faxed-to-registrar-leads-to-metasploit-defacement/102576 hamis fax-üzenetekkel sikerült domainek DNS-szervereit átiratni] egy regisztrátornál.)</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>A DNS algoritmikus, protokoll-szintű biztonságának javítására két értékelhető próbálkozás történt: a DNSSEC és a DNSCurve. Természetesen(?) sikerült a kettő közül a problémásabbat szabványosítani.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>=== DNSSEC ===</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>=== DNSSEC ===</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5771&oldid=prev KornAndras: /* A delegációs rendszer törékenysége */ bitsquatting 2013-04-29T16:00:44Z <p>‎<span dir="auto"><span class="autocomment">A delegációs rendszer törékenysége: </span> bitsquatting</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2013. április 29., 16:00-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">629. sor:</td> <td colspan="2" class="diff-lineno">629. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>Ha ebből a többszázból csak egyre betörnek, a kliensek egy részét el tudják téríteni.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>Ha ebből a többszázból csak egyre betörnek, a kliensek egy részét el tudják téríteni.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>Az eltérített felhasználók hányada viszonylag egyszerűen növelhető; ezzel kapcsolatban l. [http://cr.yp.to/dnscache/bugtraq/20000123114946-2072-qmail@cr-yp-to DJB egyik levelét a bugtraq listára].</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>Az eltérített felhasználók hányada viszonylag egyszerűen növelhető; ezzel kapcsolatban l. [http://cr.yp.to/dnscache/bugtraq/20000123114946-2072-qmail@cr-yp-to DJB egyik levelét a bugtraq listára].</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>=== Bitsquatting ===</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>A számítógépek időnként hibáznak: pl. egy-egy bit átállítódik a memóriában. Ha ez egy domain-névvel történik, akkor a DNS-kliens esetleg nem a megfelelő domaint oldja fel, hanem egy attól 1 bitnyi Hamming-távolságra levőt (pl. &lt;tt&gt;cnn.com&lt;/tt&gt; helyett &lt;tt&gt;con.com&lt;/tt&gt;). Ha [http://dinaburg.org/bitsquatting.html ilyen domaineket jegyzünk be], sok esetben hozzánk futnak be a felhasználók kérései, és azt válaszolhatunk rájuk, amit akarunk (http esetén pl. rosszindulatú kódot injektálhatunk az oldalakba; SMTP esetén leveleket lophatunk el stb.). A https sem segít, hiszen rendelkezhetünk az általunk bejegyzett névre szóló érvényes tanúsítvánnyal.</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>A typosquatting ellen az ismertebb domainek próbálnak védekezni (úgy, hogy a gyakori elgépelésekhez tartozó domaineket is bejegyzik), de a bitsquatting azokat a domaineket is érinti, amiknek a nevét a felhasználók (szinte) sosem írják be közvetlenül: &lt;tt&gt;fbcdn.net&lt;/tt&gt;, &lt;tt&gt;cloudfront.net&lt;/tt&gt;, &lt;tt&gt;google-analytics.com&lt;/tt&gt; stb.</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>Konkrét klienst nehézkes így megtámadni, de szőnyegbombázásszerű támadásokra nagyon is alkalmas lehet ez a nem túl ismert módszer.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Kísérletek a DNS biztonságának fokozására ==</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>== Kísérletek a DNS biztonságának fokozására ==</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5761&oldid=prev KornAndras: /* DNSSEC */ hivatkozás: http://dns.comcast.net/index.php/tags/tag/dnssec 2013-02-25T16:24:52Z <p>‎<span dir="auto"><span class="autocomment">DNSSEC: </span> hivatkozás: http://dns.comcast.net/index.php/tags/tag/dnssec</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2013. február 25., 16:24-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">671. sor:</td> <td colspan="2" class="diff-lineno">671. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Így, ha az 1.2.3.4-es IP és a példa.hu domain a miénk volt, de valami miatt IP-t váltottunk és az 1.2.3.4 egy támadóé lett, a régi DNSSEC-rekordjaink visszajátszásával továbbra is elhitetheti a kliensekkel, hogy -- pl. -- a www.példa.hu IP-je az 1.2.3.4, és ezen a címen hamis website-ot üzemeltethet.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Így, ha az 1.2.3.4-es IP és a példa.hu domain a miénk volt, de valami miatt IP-t váltottunk és az 1.2.3.4 egy támadóé lett, a régi DNSSEC-rekordjaink visszajátszásával továbbra is elhitetheti a kliensekkel, hogy -- pl. -- a www.példa.hu IP-je az 1.2.3.4, és ezen a címen hamis website-ot üzemeltethet.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Ez azt is jelenti, hogy kb. havonta újra alá kell írni az összes adatot, akkor is, ha nem volt változás. Ha elfelejtjük, eltűnünk az Internetről.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** Ez azt is jelenti, hogy kb. havonta újra alá kell írni az összes adatot, akkor is, ha nem volt változás. Ha elfelejtjük, eltűnünk az Internetről.</div></td> </tr> <tr> <td colspan="2" class="diff-empty">&#160;</td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>**** Ilyen és hasonló problémák miatt ideiglenesen elérhetetlen domainek listáját láthatjuk a Comcast [http://dns.comcast.net/index.php/tags/tag/dnssec listáján].</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** A visszajátszás segítségével lassíthatók a DNS-alapú terheléselosztók kliensei (pl. akamai): pl. ausztrál szerverhez irányíthajtuk a francia klienst.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>*** A visszajátszás segítségével lassíthatók a DNS-alapú terheléselosztók kliensei (pl. akamai): pl. ausztrál szerverhez irányíthajtuk a francia klienst.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Működése (kivonat):</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>* Működése (kivonat):</div></td> </tr> </table> KornAndras //unixlinux.tmit.bme.hu/index.php?title=A_DNS_m%C5%B1k%C3%B6d%C3%A9se&diff=5760&oldid=prev KornAndras: /* A delegációs rendszer törékenysége */ a textbox sablon az upgrade során eltörött, úgyhogy most egyelőre textbox nélkül látható a példa 2013-01-27T20:38:07Z <p>‎<span dir="auto"><span class="autocomment">A delegációs rendszer törékenysége: </span> a textbox sablon az upgrade során eltörött, úgyhogy most egyelőre textbox nélkül látható a példa</span></p> <table class='diff diff-contentalign-left'> <col class='diff-marker' /> <col class='diff-content' /> <col class='diff-marker' /> <col class='diff-content' /> <tr valign='top'> <td colspan='2' style="background-color: white; color:black;">←Régebbi változat</td> <td colspan='2' style="background-color: white; color:black;">A lap 2013. január 27., 20:38-kori változata</td> </tr><tr> <td colspan="2" class="diff-lineno">460. sor:</td> <td colspan="2" class="diff-lineno">460. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>Nézzük meg például, mely gépek befolyásolhatják a &lt;tt&gt;bme.hu&lt;/tt&gt; zóna látszólagos tartalmát:</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>Nézzük meg például, mely gépek befolyásolhatják a &lt;tt&gt;bme.hu&lt;/tt&gt; zóna látszólagos tartalmát:</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>&lt;div style="float: right; width: 49%; padding: 4"&gt;<span class="diffchange diffchange-inline">{{textbox|</span>Példa<span class="diffchange diffchange-inline">|</span></div></td> <td class="diff-marker">+</td> <td style="background: #cfc; color:black; font-size: smaller;"><div>&lt;div style="float: right; width: 49%; padding: 4"&gt;<span class="diffchange diffchange-inline">'''</span>Példa<span class="diffchange diffchange-inline">'''</span></div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># A támadó a hatalmába keríti az egyik, a .se domainre autoritatív szervert.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># A támadó a hatalmába keríti az egyik, a .se domainre autoritatív szervert.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># A támadó bejegyzi ezen a szerveren az &lt;tt&gt;akarmi.se&lt;/tt&gt; domaint.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># A támadó bejegyzi ezen a szerveren az &lt;tt&gt;akarmi.se&lt;/tt&gt; domaint.</div></td> </tr> <tr> <td colspan="2" class="diff-lineno">472. sor:</td> <td colspan="2" class="diff-lineno">472. sor:</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># Mivel a cache-ében az is megvan, hogy a sunic.sunet.se autoritatív a .hu-ra, a továbbiakban a .hu-val kapcsolatos kéréseinek egy részét az 1.2.3.4-nek fogja küldeni.</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># Mivel a cache-ében az is megvan, hogy a sunic.sunet.se autoritatív a .hu-ra, a továbbiakban a .hu-val kapcsolatos kéréseinek egy részét az 1.2.3.4-nek fogja küldeni.</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># A támadó ezekre a kérésekre azt válaszol, amit akar; az áldozat szemszögéből nézve az egész .hu zóna teljes tartalmát a támadó ellenőrzi (feltéve, hogy valamilyen más módszerrel arról is gondoskodik, hogy a kliens a többi .hu-ra autoritatív szerverhez ne tudjon fordulni).</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div># A támadó ezekre a kérésekre azt válaszol, amit akar; az áldozat szemszögéből nézve az egész .hu zóna teljes tartalmát a támadó ellenőrzi (feltéve, hogy valamilyen más módszerrel arról is gondoskodik, hogy a kliens a többi .hu-ra autoritatív szerverhez ne tudjon fordulni).</div></td> </tr> <tr> <td class="diff-marker">−</td> <td style="background: #ffa; color:black; font-size: smaller;"><div>|width=100%}}</div></td> <td colspan="2" class="diff-empty">&#160;</td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>&lt;/div&gt;</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>&lt;/div&gt;</div></td> </tr> <tr> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>&lt;div style="width: 49%; padding: 4"&gt;</div></td> <td class="diff-marker">&#160;</td> <td style="background: #eee; color:black; font-size: smaller;"><div>&lt;div style="width: 49%; padding: 4"&gt;</div></td> </tr> </table> KornAndras