Názory k článku
Reálné ohrožení Internetu nebo novinářská kachna?

... se domnívám, že i jsem se možná stal "prostředníkem" tohoto útoku. V pondělí jsem začal pociťovat vyšší provoz na mojí pevné lince. Po zkoumání, co to je jsem zjistil, že kdosi zneužívá moji špatně zabezpečenou proxy tak, že se připojí na 3128 a proxy ho prostřelí zpátky do internetu, ale bohužel s mojí adresou. Těchto požadavků přicházelo cca. 300 za minutu. Chybu jsem sice hned napravil, tu frekvenci pokusá jsem sledoval ještě druhý den ráno.

Podle portu soudim, ze Vase proxy je WinProxy nebo Squid. V pripade WinProxy mohl pravdepodobne zneuzit utocnik HTTPS Connect metodu (k pripojeni pomoci TCP streamu na libovolny jiny PC). Squid v defaultni konfiguraci Connect metodu omezuje na seznam dobre znamych portu. Cili totuto cestou by to neslo.

Vas PC zrejme nebyl primym akterem utoku - maximalne by prez nej mohl byt utocnik napojen na dalsi stroje ktera takto ridil a z nich vedl utok.

Daleko pravdepodobnejsi je, ze pomoci HTTPS tunelu utocnik skrze Vas rozesilal obycejny spam.

ja mam webserver na portu 8088, mohl byste mi udelat bezpecnostni rozbor moji konfigurace?
dekuji

Rozhodně jsem pro přidání daląích serverů: jednoho do kontinentální Evropy (co kdyľ nás někdo odřízne od Britských ostrovů a Skandinávie - a nemusí to být válka, stačí přírodní katastrofa), jiľní Ameriky, Afriky, střední Asie, Blízkého východu a Austrálie. Podle původní vojenské topologie internetu by přece mělo být pravidlem, ľe kaľdý kontinent musí mít moľnost fungovat, i kdyľ vąechny ostatní jsou zničeny.

Zajímalo by mě, kdo to platí. Na tohle bych totiľ rád přispíval z daní (samozřejmě do doby, neľ se tam začnou objevovat poloľky typu: srpen 2003: toaletní papír - 30 000 € :-)). Nebo se to platí z poplatků za domény?

A jeątě jedna otázka? Co to jako mělo znamenat? Kdo za tím stál?

Zaplat panbuh (obzvlaste pikantni souvislost), ze ICANN/IANA se neridi Vasim pranimi :-) Pokud nejaka "puvodni vojenska topologie" existovala, rozhodne v ni nebylo nic o tom, ze "kazdy kontinent musi mit moznost fungovat ..." - duvodem je jednoducha vec. DARPA rozhodne nepozadovala mezikontinentalni funkcnost :-)

Mozna pro Vas bude prekvapenim, ale korenovy nameserver neresi provoz v danem regionu, ale zatez je vyvazovana pres vsechny korenove nameservery. Takze umisteni serveru do Vami zminovanych lokalit znamena, ze tam nekdo musi dovest patricne tlustou optiku (respektive takovi "nekdo" by meli byt nejmene tri).

Pokud se placeni tyce, plati dva axiomy.

1. Jednim z princu dani je to, ze si NEVYBIRATE, komu platite.
2. Provoz tech systemu zajistuji prislusne instituce na vlastni triko. Pokud byste to chtel platit z dani, musite platit dane v USA ci Japonsku (tam nektere obsluhuji vedecka instituce a nektere armada - placene z dani). Nicmene prispivate i jinak - pokud jste nekdy koupil nejaky pocitac od HP (Compaqu/Digitalu) ci SUNu, urcite jste prispel. Pokud vim, vetsina korenovych nameserveru bezi na darovanem ci vyrazne dotovanem zeleze. Dale jste urcite prispel, pokud jste pripojen k Internetu. Nekteri ISP (jmenovite UUNET/WorldCom) korenove nameservery provozuji - a vy jim platite bude primo nebo neprimo za Vasi konektivitu. Ale nejjistejsi je, ze platite provoz systemu v Evrope. Ty jsou provozovany peeringovymi sdruzenimi (LINX a NetNod), kam plati vsichni pripojeni ISP clenske poplatky. A vy platite za pripojeni bud nekteremu clenovi tech sdruzeni nebo Vas ISP plati takovemu providerovi za tranzitni konektivitu :-) Neni nad samoregulaci.

Pokud skutecne nekam prispet, stante se platicim clenem The Internet Society - ISOC (vetsina clenu jsou neplatici clenove).

Co to melo znamenat? Zatim se neprihlasila ani Al Kajda neni cecensti separatiste ani Vlado Meciar.

Podle meho si nejaka hackerska skupina chtela vyzkouset svaly. Prestoze "FBI" vysetruje, pravdepodobne (jak je u techto veci obvykle) nikoho nenajde.

Zdravim Michale,
nejsem si jist, jak je to nyni, ale driv jsem cetl o tom, ze si bind vybira nameservery, kterych se bude ptat na zaklade rychlosti odezvy - a pak by skutecne byli nejlepsimi kandidaty dns servery na stejnem kontinetu, protoze tech 80 ms RTT do USA obejit nejde.

A opravdu je takova zatez serveru .root-servers.net? Jaka pak musi byt zatez serveru .gtld-servers.net, aspon jeste 10x - 100x vyssi, ne?

Ahoj Petre,
nevim o tom, ze by si BIND timto zpusobem vybiral (ale nevylucuji to). Mnou provozovane BINDy (obvykle verze 9.2.x) to skoro jiste nedelaji :-).

Udaje o zatizeni f.root-servers.net muzes najit na http://www.isc.org/services/public/F-root-server.html. Mozna jinde budou lepsi statistiky.

Viz treba:
http://www.isc.org/ml-archives/bind-users/2000/08/msg00588.html
http://www.isc.org/ml-archives/bind-users/1999/05/msg00095.html
http://www.isc.org/ml-archives/bind9-users/2000/09/msg00084.html

Jinak viz take source code bind-9.2.2rc1/lib/dns/resolver.c
Tento mecanismus je v bindu uz od verzi 4.x

Diky ...

Mne pri pohledu na clanek i na cast reakci (napr. zrovna R. Nemce) napadlo, ze by mne docela potesilo, kdyby v ramci zrobustneni DNS-systemu par root-serveru pribylo, a jeden z nich sedel zrovna v CR.
Opravte mne jestli se v necem zasadne mylim, ale mam pocit, ze sympaticky ukol treba pro zdejsi akademickou sit by to byl.
A za sebe muzu rict, ze pripadne dotovani napr. z prebytku CZ.NICu bych pral prave takovym projektum, a v tomto pripade by mne nemrzela asi ani dotace ze statniho rozpoctu.
(Koneckoncu by to mozna byly i dost efektivne vynalozene finance na reprezentaci.)

IMHO je to hezka, nicmene nepruchodna myslenka.

Zrizeni korenoveho nameserveru je beh na dlouhou trat. Krome toho, ze musite disponovat odpovidajici sitovou infrastrukturou (a tou CR IMHO nedisponuje), se navic neprideluje pripojeni k jedne siti (viz pripad LINXu a NetNod - nenechte se zmast tim, ze ten nameserver je papirove v managementu NORDUNETu). NIX.CZ dle meho nazoru dnes nema na provoz korenoveho nameserveru kapacity (lidske ani technicke).

Pokud se tyce prebytku CZ.NICu, tak myslim, ze NIX.CZ uz jeden projekt podal. CZ.NIC ovsem usoudil, ze ho podporovat nebude.

Jinak akademicka sit v souvislosti s krachem nejmenovaneho nadnarodniho operatora, u ktereho je provozovan jeden sekundar ccTLD .cz, ucinila neoficialni nabidku provozovani jednoho sekundaru pro ccTLD .cz. Bohuzel bez hmatatelneho vysledku.

Na INETu jsem se jednoho predstavitele ICANN zkusil nenapadne zeptat, co oni na rozsireni poctu nameserveru. Rikal, ze momentalne to neni aktualni. Jak nejrealnejsi bych videl nejake umisteni v Nemecku ci Australii (ICANN voli take na zaklade politicke a hospodarske stability statu).

Tesi mne, ze zjevne nejsem sam, komu se ta myslenka libi.
Netesi mne - i kdyz jsem to ocekaval - ze je nepruchodna.

Priznam se, ze o NIXu jsem nejak neuvazoval, spis o akademicke siti - pokud vim, tak nezanedbatelnym potencialem disponuje, a jsem presvedcen ze ma to (s potrebnym posilenim, ktere by v pripade dostatecne podpory jiste nebylo nemozne), aby se takovychto ukolu zhostila vice nez dobre.

Informace ze nabidky v tomto smeru cini, je rozhodne pozitivni, treba se casem hmatatelne vysledky dostavi.

kdo potrebuje DNS?

nikdo ;)

mozna az bude ipv6, to uz se pamatuje dost tezko :))

Vzhledem k existenci virtualnich webserveru nepotrebuje DNS ten, kdo nepouziva web (ale vzdycky je tu hosts, ze? :)

Podle puvodni vojenske topologie by melo byt pravidlem, ze Internet by v pripade valek mel mit moznost fungovat tem, kteri ho uvedli do chodu. Coz plati, ne?

Muze mi nekdo prosim osvetlit, co je obsahem korenovych serveru (jejich DNS)?
Zatim ziju v presvedceni, ze pouze odkazuji tazatele na servery narodnich domen plus nektere obecne (org, net ...).
Pokud mam pravdu, opravdu vyridi cca 13 x 0.25 miliardy dotazu denne ? Tolik snad neni ani stranek na internetu ...

:-))) Pocet stranek na internetu s tim prece nesouvisi - vsechny DNS servery si kesuji urcitou dobu podle TTL vysledky svych dotazu, HTTP je jen jeden z mnoha protokolu, ktere domenova jmena vyuzivaji a stejne i zalezi ne na poctu stranek ale na poctu dotazu na ne z ruznych adres, resp. dotazu na jejich domenu z ostatnich DNS serveru - takze ta korelace je tam asi dost mala... Myslim, ze mnohem spis by se asi dala vysledovat zavislost zatizeni korenovych DNS na celkovem objemu prenesenych dat ve vsech sitich, ve kterych se DNS pouziva (asi to budou minimalne skoro vsechny site, zalozene na IP), je-li takova nejaka statistika... Nebo spis s poctem vsech DNS serveru po svete, resp. s prelevanim komunikace mezi jednotlivymi domenami - ale takovouhle statistiku uz asi fakt neni mozne vytvorit :-).

To já jsem si také myslel, že jsou potřeba jen pro nalezení autoritativního name-serveru koncové domény.
Ale těch zase není až tak moc, takže většinu jich (neautoritativně) znát váš nejbližší name-server.
Tedy, co by se v "síti jménem Internet" při nefunkčnosti kořenových name-serverů zastavilo? Pouze by se někdo nedostal třeba do Konga. (Pokud se tam nepropojoval už minulý týden. Ale to mně stejně nikdy nejde, protože já dostávám IP-adresy pro cd.cz.)
Co tedy ty kořenové servery vyřizují za požadavky? To si stále někdo ověřuje, zda se nezměnil autoritativní name-server pro Kongo? (Tam snad by to bylo aktuální, protože při změně by v Kongu možná neprovozovali nějakou dobu souběžně i starý.)
Spíše mám z článku pocit, že by se provoz kořenových serverů dal výrazně racionalizovat - jak konečně ukazují velké výpadky, kterých si prostě nikdo nevšimne.

V konfiguraci každého nameserveru jsou napevno zadány IP adresy těchto kořenových nameservrů. Pokud chce zjistit IP adresu TLD domén, i nameserverů pro ccTLD .CZ, tak se musí zeptat. Tyto nameservery se sice nemění často, ale přece jenom občas ano. Takže mají nastaven TTL 2 dny.

Před výpadkem root dns se lze i zabezpečzt tím, že si uděláte vlastní sekundár a budete stahovat celý obsah zóny ".". Ovšem asi by to nemělo být příliš rozšířené, protože pak by se ty kořenové nameservery zatěžovaly ještě víc. A třeba zóna .CZ má přenos celé zóny zakázaný.

Podle RFC 2010 by kořenový nameserver měl umožňovat transfer celé zóny pouze pro přesně vymezené klienty, rozhodně ne pro každého. Nevím, jestli jsou tak všechny skutečně nastavené, ale předpokládám že ano.

No - nejsou.

Reverzni dotazy?

Toho jsem si dřív nevšiml, že a až i.root-dns.net jsou použité kromě zóny "." i pro zónu arpa. J až m jsou jenom pro tu ".".

Takže odtud bude asi taky dost dotazů.

Co radeji pouzivat cestinu?

Pro ty co pisou internet s malym i (treba M. Krska) - precti si clanek tady na Lupe z Historie Internetu "Vítězná cesta TCP/IP".

Ja pisu VZDY Internet s velkym "I". Pokud je nekde male "i" jde o preklep, umysl vytvorit kontrast nebo zlovuli editora :-)

Obavam se, ze patrim ke "generaci", ktera povazuje Internet za natolik vyznamny fenomen, ze ho bude psat vzdy na zacatku s velkym pismenem.

Pokud tedy pisete Internet jako ja s velkym I, tak mi prosim objasnete tento vas odstavec.

"Výsledkem útoku bude podle mého názoru další posílení odolnosti infrastruktury kořenových nameserverů proti útokům, zcela podle pravidla -- "Co tě nezabije, to tě posílí". Takže se ani "uživatelé internetu", ani ti, kteří si stále myslí, že Internet se píše s velkým "I", nemusí bát.

Vazne jsem jej nepochopil. Diky.

S pozdravem

Richard Bukovansky

Patrim k tem, kteri si stale mysli, ze Internet s pise s velkym "I". :-)

Mozna jsem mel misto "uzivatele internetu" napsat "spotrebitele internetu" - aby vice vynikla pejorativnost oznaceni :-)

Nezlobte se na mne, ale vubec jste mi neodpovedel.
Proc by se clovek, ktery Internet pise s jakymkoliv "i", ci uzivatel-spotrebitel Internetu (napr. moje byvala pritelkyne) o nej nemel bat? Pokud se mi stane, ze se muj DNS server nemuze zeptat root serveru na to, kde ma hledat DNS servery pro ccTLD Zimbabwe (kdybych tam nekdy chtel jet :o), nebo poslat kamaradovi, ktery tam pracuje, e-mail), tak jsem totalne v rejzi, kdyz mi to nejaci cvoci zastavi pristup k zaznamum k jejich ccTLD. TO BYSME BYLI UPLNE VITE KDE...
Nehlede na to, ja jsem pro psat Internet pro stav, kdy mluvim o obsahu (www, ftp, e-mail atp.), a internet pro stav, kdyz o nem mluvim jakozto mediu pro prenos informaci (treba jako televize ci radio).

Richard Bukovansky

Internet je infrastruktura, kterou Vy povazujete za internet. Povazujte se tedy za cil te pejorativni poznamky :-)

Vazne? Tim, ze spravuji firemni DNS server, webserver, opatruji pripojeni firmy se mam povazovat za obyc. uzivatele/posluchace/divaka Internetu? Joj... Co v tom pripade jste vy? (bez urazky)
Prave proto bychom tu infrastrukturu meli nazyvat internet, podobne jako ostatnim clankum te infrastruktury rikame modem, router, opticky kabel, switch (je to proste prostredek prenosu dat; BTW proc te infrastrukture, pro prenos dat, co mate ve firme nerikate "Sit", ale "sit"? Vy jinak v tom pripade musite psat "Televize", "Radio"? Jak se tady na serverni Morave rika: jo ni.) a "tomu, co se prenasi" Internet. Nemyslite?
Nekdo o tom psal clanek, snad dokonce tady psal na Lupe.

Jenže modemů, routerů, switchů a optických kabelů jsou na světě miliony. Lokálních sítí možná ne miliony, ale bude jich dost. Označení internet se dá vztáhnout na jakoukoli síť, která vznikne propojením více menších sítí. Ale Internet je název jedné konkrétní celosvětové sítě, která je na světě jen jedna, a proto by se měla psát s velkým písmenem.

Nebo s malým písmenem, jakožto pojem, který zdomácněl. Podobně jako "škodovka" například.

Nepovažuji se za dostatečně fungovaného lingvistu, ale cítím v tom určitý rozdíl. Škodovek jsou tisíce, Internet je pořád jen jeden. Je ale problém, že Internet je fenomén, který je natolik nový a jedinečný, že se velice těžko k čemukoli známému přirovnává. Proto s ním mají právníci a politici tolik problémů, těžko říci, jestli i jazykovědci.

S tou sítí jste to docela trefil. Občas se používá jako synonymum pro Internet slovo Síť s velkým S. Internet je prostě jeden, zatímco internetů mnoho. Často se používá termín připojení k Internetu - jasně se tím myslí ten jeden určitý a ne nějaký jakýkoliv.

Ostatně, výpadek root DNS by způsobil problémy Internetu a ne internetu, že.

Pokud chcete nějakou analogii slov s malými a velkými písmeny, tak mě třeba napadá hrad - těch je mnoho, pokud se ale napíše Hrad, tak se tím myslí sídlo prezidenta.

To je logika věci, ovšem poslední reforma pravidel českého pravopisu před několika lety všechnu logiku postavila na hlavu, takže je možné už cokoliv.

A často spory rozhodnou uživatelé - taky ze začástku videu zasvěcenci říkali ampex, jazykotepci (i časopis Sdělovací technika) magnetoskop, dodavatelé videomagnetofon - a uplynulo pár let a je z toho jenom video.

Asi nejaky vtip, nebo co. Treba to tak napsal, jen aby byl nejaky flame, ktery nesouvisi s clankem. Treba delaji pruzkum, jak hodne jsou lidi "flejmovi" ;-). Zdar Internetu!

Bohuzel vtip, ktery podle mne nema logiku a nehlede na to, ze mi p. Krsek jeste na vyznam toho odstavce neodpovedel (o coz mi slo hlavne, viz me prispevky vyse).

Zdar Internetu, zdar. Bez nej bych nebyl ziv...:o)
Na co by mi byl internet (infrastruktura), kdyby se po nem neco (napr. Internet) neprenaselo, diky treba totalnimu vypadku root DNS serveru, a ja to udrzoval v chodu zbytecne? 8-O

Ono je tezke vysvetlit pointu vtipu nekomu, kdo je cilem toho vtipu. Sorry, to skutecne nezvladnu :-)

A co kdybyste se prece jen o to pokusil, misto trapneho urazeni a naprosto nic nerikajicich odpovedi. Myslel jsem, ze jste schopen argumentovat pripadne osvetlit svuj nazor, kdyz se snazite lidem vysvetlit, co se stalo, bohuzel tomu tak neni a ze se toho na Lupe nedockam, jako na jinych serverech.

POINTA: Nemusite se bat, ze by nekdo zlikvidoval vsechny korenove nameservery ...

... at uz pisete Internet nebo internet.

Obavam se, ze vetsiho zjednoduseni uz nejsem schopen :-)

No, ja osobne bych obavu mel, protoze to pry byl docela amatersky utok, takze od nejakych profiku DDoS-aru by se dalo ocekavat vetsi zahlceni serveru, ne-li jejich polozeni se...
Asi jsem paranoik...

Čo také si vojín Krsek predstavujetě pod slovom "marginální" :))

Na světě je možná další kachna a nebo pravda? Na mamu www.mam.cz se objevilo, že Imaginet divize Českého Telecomu prodává Svět namodro. Se divím, že o tom Lupa neví a nepíše o tom. Nemůžete zjistit jestli je to pravda, nebo je to na mamu kachna???

Díky Honza

Zajimalo by mne, jestli ma nekdo o utoku blizsi informace.
Co to bylo presne za utok? ICMP muze znamenat mnoho. Treba utok na to, ze router musi posilat zpravy "host unreachable",
ci neco podobneho? Take kdy presne utok probihal. Zaznamenal jsem podobny utok v podobny cas. Ma nekdo presnejsi udaje?

Pardon, este som necital clanok ani reakcie, ale suvisi to nejako s tym, ze mobilmania.cz a doupe.cz dnes hlasia udrzbu (to urcite), grafika.cz a mobil.cz nemaju nove clanky?

V CR je dnes statni svatek ... To myslim, ze odpovida na vsechny Vase otazky.