Názory k článku
Resort justice včetně soudů zůstal 16 hodin odříznut od internetu [AKTUALIZOVÁNO]
-
Tak určitě. ROFLMAO.
České justici dodává IT systémy dlouhodobě firma CCA Group, která nyní čelí společně se svým majitelem Tomášem Váchou a dalšími šesti lidmi trestnímu stíhání kvůli krácení daní se škodou 100 milionů korun.
Mimochodem, stále mi web www.justice.cz a rejstříky vyhazují náhodně "Connection reset", to asi s DNS tak nějak nesouvisí.
-
To ale hrozí pouze v případě že dodavatel měl smlouvu postavenou tak, že za nějaké způsobené škody ručí. Celkem často se šetří tím, že se dodavatelé najmou způsobem "bodyshopping" - takže objednatel si je úkoluje jak potřebuje, ale dodavatel ručí v podstatě jen za to, že člověk dojde do práce včas, střízlivý a s funkčním notebookem.
-
A to ma vadit cemu presne? Vice DNS zon na jednom DNS serveru je naprosto bezny use-case. Rec je o tom, ze kdyz ustrelim jednu konektivitu, tak nesmi lehnout vsechny DNSka obsluhujici dane zony. Aneb v situaci, kdy mam DNS servery na dvou IP adresach hned vedle sebe vice nez pravdepodobne, ze to umre naraz komplet.
-
Tak on je fail mít vsechny DNS v ramci jednoho ASN. Staci si pozorne precist clanek 3.1 v pomerne starickem RFC2182:
When selecting secondary servers, attention should be given to the various likely failure modes. Servers should be placed so that it is likely that at least one server will be available to all significant parts of the Internet, for any likely failure.
Jasne, muzete v ramci routingu sve site mit propagovane /32 IPv4 resp. /128 IPv6 a kazdy server mit v ramci sve site jinde. Ale do globalniho internetu tyhle specificky routy jaksi neposlete, ze? ;-) A ano, vypadek afektujici agregovanou routu propagovanou do globalniho internetu je take scenar, se kterym by se melo pocitat. A s tim co popisujete proste ono "any likely failure" pokryte nemate, pokud mate IP hned vedle sebe (a nejsou to IP na zacatku/konci dvou propagovanych subnetu). -
Bavime se o justici nebo o cem? Tech 30 popu bylo v anycastu, no.
Justice ma proste dva servery (pravdepodobne).
>Takže to 26 let staré doporučeí splňuje velice dobře.
Tezko rict. SPoF je furt ASN/routing domena.
Jde to pres stejne switche a stejny demon?
Vypadek Gcka pred par lety ukazal, ze prakticky ano.
Google dva ASN na tohle nema.
Proc? Prilis moc prace.
Vic ASN? VIc /24, kazda jinak routed? Jedno /24 a IP vedle sebe, jako jsme meli my?
Tohle jsou uvahy.. kazda sluzba ma definovany error budget a nejake dogmata z RFC jsou..k nicemu.
Zcela mimo realitu SRE.
Nejdriv se definuje accepted downtime a pak se to udela tim nejjednodussim zpusobem.
Protoze ani googli DNS nema expected uptime 100%. To vam reknou inzenyri, ze je nesmysl. -
Kazdy, kdo trosku pracuje s routingem globalniho internetu vi, ze v pripade IPv4 specifictejsi prefix jak /24 ven proste neprotlaci. A ano, Google ma ctyri DNS a kdyz se podivate pozorne, ma je geograficky rozstrkane - a kazde ma svou /24. Obdobne to ma treba i Cloudflare. A spousta dalsich.
Routing resite per-prefix, muzu mit klidne jedno ASN postavene tak, ze z ruznych mist propaguje ruzne prefixy a dokonce to (jako ASN) nemusi byt mezi sebou spojene. To je zjednodusene receno i zaklad fungovani vsech anycastu. Z kolika ASN to jde je opravdu podruzne, dulezite jsou ty prefixy (a opravdu existujici samostatne routy).Proste strcit to do jedne /24 vsecky DNS a brat to jako akceptovatelne riziko, kdyz to cele vypadne je zvlaste v pripade vcelku kriticke infrastruktury statu pomerne problem. A na justice.cz bezi mimo jine insolvencni rejstrik a tam si nemuzete dovolit to mit buhvikolik hodin mimo provoz. Asi nebudete chtit uzavirat nejakou smlouvu s nekym, kdo je v insolvenci, ze? :-) I v zakone je na zverejneni lhuta v radu 2 hodin. Kdopak asi zaplati pripadne skody, hm?
-
A to ti čučkaři nemohli aspóň napsat tweet s IP adresami vybraných domén? (Samozřejmě jako obrázek: screenshot excelovské tabulky s páry doména : ip). Aspóň by pak ŇJŮ Kib mohl je pochválit že dělají osvětu jak funguje a jak používat dns ruským způsobem +se lidi naučí používat netcat (Host:), curl(--header)(,wget --header, připadně tam jsou přímo volby na dns)
-
Tak pokud jim padnul nejaky firewall, co tu /24 resi, tak nam IPcka moc nepomuzou :-) Mimochodem jim to uz zase nejede....
$ host justice.cz 194.213.41.91 ;; communications error to 194.213.41.91#53: timed out ;; communications error to 194.213.41.91#53: timed out ;; no servers could be reached $ host justice.cz 194.213.41.92 ;; communications error to 194.213.41.92#53: timed out ;; communications error to 194.213.41.92#53: timed out ;; no servers could be reached
ČLÁNKY DO MAILU