Skip to content
Попытка ответить на вопрос о резольверах, проверяющих домены из списка РКН
Branch: master
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
alexa-ip
atlas
z-i
1x1512.com.zone
1x1513.com.zone
README.md
common.zone
cool-sino.com.zone
diplom-lipetsk.com.zone
habrahabr.md
inventory
kisa54.com.zone
morze.py
random-zapret-info.zone
recursor.conf
rnd.darkk.net.ru.lua
rnd.darkk.net.ru.zone
run
run.yml
zenitbet66.com.zone

README.md

Где резольвер, Лебовски?

В данном репозитории лежат скрипты и конфигурационные файлы для нескольких доменов из списка РКН.

Эти домены выбраны исходя из следующего принципа: пара доменов для https-записей, пара для http и пара для записей вообще без URL-ов.

Цель регистрации доменов из "чёрного списка" не так называемая DNS-атака, а попытка понять, какие провайдеры производят DNS-резолвинг при обработке выгрузки РКН, а какие — нет.

Для предотвращения "атаки" предприняты следующие меры:

  1. для доменов с "малым" числом IP адресов используются уже указанные в выгрузке для соответствующих доменов IP адреса
  2. для доменов с "большим" числом IP адресов используются случайные 2048 IP адреса указанные в выгрузке для каких-либо доменов

Таким образом, множество IP-адресов, в которые резольвится выгрузка, от этих доменов не должен как-либо измениться.

Но какое-то количество багов всё же было стриггерено:

  1. Никто не ожидает испанский CERT, у которого случилось ложное срабатывание автоматики на один из доменов.
  2. В dnspython есть квадратичная деградация производительности на ответах с большим числом однотипных RR.
You can’t perform that action at this time.