DNSSEC, среди прочего, является защитой от MITM атак. То, что ты описал, является одним из вариантов MITM. Защищает или нет?

Только если у тебя есть валидирующий резолвер. -- Sergey

Дима, я правильно понимаю, что DNSSEC - удел нердов? В каких домашних маршрутизаторах это всё поддерживается? Ну и сколько домашних хомячков на винде (а) включат и (б) внимательно проверят, что всё путьком? On 5/30/17 7:09 PM, Dmitry Kohmanyuk wrote:

On 30 трав. 2017 р., at 16:02, Sergey Myasoedov wrote:

...

...

...

блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают “что случилось”.

...

Если включен DNSSEC, то никакой подмены на уровне DNS не получится. Это шутка? Много ли клиентов ISP держат у себя валидирующий резолвер? Достаточно много ISP *в мире* так делают и некоторые из них не отвечают данными из подписанного домена, если подпись RRSIG не сошлась с хешем из DS.

Но да, это в "развитых" странах, не в xSU.

...

...

Т.е. ты хочешь сказать, что если домен подписан, то можно поменять его IP и все будет работать? Я правильно тебя понял? Можно теоретически даже подписать домен и надеяться, что прокатит :)

...

Я хочу сказать, что если ты доверяешь своему провайдеру в вопросе DNS или твой провайдер перехватывает твои DNS-запросы и отвечает на них сам (есть и такие), естественно, ставя нули в нужных битах - можно подменять адрес хоть google.com и всё будет работать. Пока клиент не проверяет бит AD - да. Или если провайдер его подделывает.

В идеале нужно TLS transport до ISP и далее валидация. Или сразу у клиента свой stub+cache resolver с DNSSEC. Но тогда проще свой unbound поставить на ноутбук или на роутер с openwrt. _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

On Tue, May 30, 2017 at 11:33:13PM +0300, Volodymyr Litovka wrote:

Дима, я правильно понимаю, что DNSSEC - удел нердов?

В каких домашних маршрутизаторах это всё поддерживается?

Альтернативная фирмварь к mediatek (ra-link)-based мыльницам "by andy padavan" - весьма популярная. Другой вопрос - что "поставил и забыл", и что там в последних версиях накрутили - не замечает большинство юзеров. А уж сборка прошивки, пусть и в готовой виртуалке - эт точно для гиков.

Ну и сколько домашних хомячков на винде (а) включат и (б) внимательно проверят, что всё путьком?

Есть ещё плагины к браузерам. И в конце концов, в том же хроме оно может закончиться чем-нить "эдаким" в любой момент. Я вот не понимаю - задача "шоб ниработало!". Какая разница, как именно оно не будет работать. Да, ДНС сейчас работает по-другому, чем в 90-х. Но "не работает" он ровно так же и даже чуть большим количеством образов. И только один вопрос должен волновать провайдеров, как субъектов бизнеса - законодательная защита от последствий "стрельбы по площадям". -- Best regards, Paul Arakelyan.