Вредоносные DNS (ISPsystem)

‘‘‘Русскими не становятся, Русскими рождаются! Пушкин - исключение!’’’

У меня этот днс не отвечает.

И из того что ты написал что он вредоносный не следует, просто не все домены резолвит. Вредоносный это если бы он поддельные айпи-адреса выдавал (выдаёт или нет, я не знаю - у меня он вообще не работает а ты не проверял).

https://www.proxydocker.com/ru/iplookup/188.120.247.2 тут почему-то написано что это ispsystem, возможно ошибочные данные

Вот пример. Если на сайте есть скрипт, обращающийся к домену - при получении ответа NXDOMAIN (домен не существует) возникнет нештатная ситуация.

Если у тебя сайт ломается от того, что какой-то внешний левый ресурс не работает - у тебя плохой сайт и его надо переделывать.

многие хостинг провайдеры предоставляя услугу аренды VPS выдают сервера с предустановленным этим сервером в resolv.conf

Хороший хостинг будет только свои собственные днсы предустанавливать. Если у тебя какие-то левые - беги с этого хостинга.

ну, ты чота быстро повял!

не останавливайся, сделай whois 188.120.247.2, потом whois ORG-JI50-RIPE, позвони Сергею, позвони Евгению, расскажи всё подробно, вдруг, они не в курсе? 😂

Он действительно отвечает не всем. Даже не всем российским IP адресам, логика мне непонятна. Дальнейшее изучение проблемы наталкивает на вывод что он отвечает NXDOMAIN на все украинские домены (.ua), при этом резолвит все остальные зоны.

DNS могут быть (в моем понимании) только двух видов: одни отвечают только за записи доменов которые на них настроены (например, ns1.reg.ru), вторые рекурсивно должны отвечать на любые запросы, и NXDOMAIN выдавать только в случае если домен действительно не существует (пример - 1.1.1.1 или 8.8.8.8).

Этот «полуфабрикат» используется в установленном начисто Linux как единственный DNS сервер (в resolv.conf) и в этом и проблема. Я не уверен как себя поведет nslookup локально если в resolv.conf будут два адреса - правильный и неправильный (то есть если неправильный ответит NXDOMAIN то, видимо, запроса ко второму, правильному, вообще не последует). Потому первое и очевидное решение - убрать вредоносный DNS.

написано что это ispsystem

Определить хост по IP мне не удалось, но верю. Все хостинг-провайдеры где на VPS я заметил этот DNS по умолчанию работают на VDSManager от ISPsystem. Значит они нагло вшивают свой IP.

DNS могут быть (в моем понимании) только двух видов: одни отвечают только за записи доменов которые на них настроены (например, ns1.reg.ru), вторые рекурсивно должны отвечать на любые запросы, и NXDOMAIN выдавать только в случае если домен действительно не существует (пример - 1.1.1.1 или 8.8.8.8).

У тебя какие-то завышенные требования к непойми чьему и непойми зачем установленному серверу в интернете. И уж точно NXDOMAIN записать во вредоносную деятельность никак нельзя. Можно записать в плохо работающий днс, который видит не все домены.

Этот «полуфабрикат» используется в установленном начисто Linux как единственный DNS сервер (в resolv.conf) и в этом и проблема.

Кем используется? Все установщики спрашиваю какой ты хочешь днс, либо берут его из DHCP (т.е. у провайдера). Если линукс установлен провайдером - то опять же айпи от провайдера. Если провайдер даёт сторонний днс в качестве основного - он плохой и его услугами пользоваться не надо (даже если этот сторонний днс признаков проблем не подаёт - всё равно, если пров не в состоянии поднять свой то это позор).

Определить хост по IP мне не удалось, но верю. Все хостинг-провайдеры где на VPS я заметил этот DNS по умолчанию работают на VDSManager от ISPsystem. Значит они нагло вшивают свой IP.

А, ну тут немного другая тогда ситуация, но всё равно нехорошо и нормальный пров должен свой днс использовать. Уверен, в VDSManager это настраивается.

Все установщики спрашиваю какой ты хочешь днс

В панели от ISP ты как клиент заказываешь VPS, выбираешь тариф и ОС, тебе накатывается какой-то готовый образ. Изучать кто его формировал и какие предустановленные настройки зашил клиент по идее не должен, но иногда приходится.

если пров не в состоянии поднять свой то это позор

Возможно и так. Но из тех провайдеров у кого я или мои клиенты арендуют VPS «свой» я видел только у двоих. И еще у одного год назад «свой» стал причиной ложных срабатываний Spamhaus и отклонению всей входящей почты, но это отдельная история.

DNS могут быть (в моем понимании) только двух видов: одни отвечают только за записи доменов которые на них настроены (например, ns1.reg.ru), вторые рекурсивно должны отвечать на любые запросы

И вот за вторые надо бить канделябром по большей части, ибо DNS amplification DDoS attack. Есть исключения, а-ля Google/Yandex/разное DNS, они этот вопрос как-то решают, но не знаю как, честно говоря.

Потому не удивительно, что непонятный 188.120.247.2 с кем угодно не работает. Мне вот он вообще не отвечает:

$ host www.ru 188.120.247.2
;; connection timed out; no servers could be reached

В панели от ISP ты как клиент заказываешь VPS, выбираешь тариф и ОС, тебе накатывается какой-то готовый образ. Изучать кто его формировал и какие предустановленные настройки зашил клиент по идее не должен,

Это с какого такого бодуна не должен, если ты заказал именно VPS? Получил сервер? Отвечай за него полностью.

А так да, если кто-то где-то сделал образ с прописанным чьим-то DNS, а хостеры все подряд его тиражируют, я бы ещё и не такие шутки сделал для посторонних охламонов. :-)

я бы ещё и не такие шутки сделал для посторонних охламонов. :-)

Я думаю они там тоже есть, просто никто еще не вникал. Если «сборки Windows» часто содержат встроенные закладки, то почему их не может быть в готовых билдах Linux, скачанных непонятно откуда?

Сначала ты контролируешь DNS тысяч серверов и в любой момент можешь подменить адрес любого сайта…

На сколько помню, DNS нельзя доверять никогда :)

С таким ником ты будешь здесь главным спецом по закладкам.

DNS вообще является вредоносным сервисом. позволяет просматривать обращения к сайтам и перенаправлять трафик к себе.

И вот за вторые надо бить канделябром по большей части, ибо DNS amplification DDoS attack. Есть исключения, а-ля Google/Yandex/разное DNS, они этот вопрос как-то решают, но не знаю как, честно говоря.

Очень просто решают, на самом деле, и это в целом почти не их заслуга. Чтобы сделать amplification attack, нужны два условия:

1) сервер-амплификаторы имеют довольно высокие лимиты на исходящий packet rate на один айпи,

2) серверов-амплификаторов есть много независимых.

Тогда packet rate одного сервера умножается на количество независимых серверов, и получается максимальная интенсивность атаки. Главное преимущество, например, яндекса тут в том, что он всего один. Ну то есть 77.88.8.8 это конечно не один комп а кластер, но они вполне могут обмениваться друг с другом информацией о пиках отправки запросов на конкретные айпи и резать их по общему лимиту. Если бы одинаковых яндексов было 10000 независимых то ими так же можно было усиленные атаки делать.

Иными словами, если 77.88.8.8 и участвует в атаке, то участвует он на правах одного из тысяч днсов и большого вклада не вносит.

Этот «полуфабрикат» используется в установленном начисто Linux как единственный DNS сервер (в resolv.conf) и в этом и проблема… Потому первое и очевидное решение -

Не оставлять никогда на VPS затрояненный линукс, ты чего как в первый раз?

То есть, по Вашему во всем виноваты хохлы. А что если я скажу что домен размещен на серверах one.com или Cloudflare и DNS сервер ISPsystem умышленно выдает NXDOMAIN? Или Cloudflare их тоже забанил вместе со всем Сколково? Тогда почему же другие домены, зоны которых находятся на one.com или Cloudflare (или любом другом сервисе) нормально работают?

А то что Вы пишете действительно иногда имеет место. Например, если домен на ns.1gb.ua то его не видит Яндекс бот (и, соответственно, не индексирует). Что довольно удивительно, т.к. хостинг 1gb.ua это клон/подразделение российского хостинга 1gb.ru.

И есть еще один интересный такой факт, не имеющий отношения к упомянутому в 1 посте DNS серверу. Некоторые провайдеры домашнего интернета РФ имеют интересную особенность - IP адрес получается корректный, на этот IP адрес успешно отправляются любые датаграммы (UDP, ICMP…) и успешно получаются ответы, но не устанавливаются никакие TCP соединения (HTTP, HTTPS). И если арендуешь VPS в школотронском датацентре, использующем «домашний интернет» в качестве линка, соответственно, имеешь проблемы с подключением. Я провел эксперимент со сменой хоста в HTTP заголовке Host: и SNI, на тот же IP адрес с другим доменом подключение успешно устанавливается. Шайтаны.

Но есть нюанс

А что если я скажу что домен размещен на серверах one.com или Cloudflare

Да насрать. Корневые серверы-то те же. И ссылаются на те же неймсерверы. Которые уже в свою очередь не отвечают как надо, если видят расово неверный айпишник.

Не пойму, вот использую Comss.one DNS для доступа к ChatGPT и аналогам + для каких-то обновлений виндоус.

Какие угрозы для меня этот DNS создает, особенно если для браузера я использую гугловский днс?

Что такое Comss.one не знаю, предполагаю что очередной паблик днс как четыре единицы, четыре девятки, Яндекс днс и так далее. Если он выдает IP адреса (А/АААА записи) всех доменов то никаких проблем. У меня на рабочей машине вообще dns crypt запущен и в настройках системы прописан локальный DNS.

Тут даже скорее проблема на серверах где панель ISP стоит с их DNS - с этих серверов некоторые домены недоступны, следовательно с них нельзя получить информацию. Например, я занимаюсь агрегацией некоторой информации с сотни сайтов на своем VPS, а тут вдруг 10% сайтов осыпаются (NXDOMAIN) и набор данных не полный. Чем это грозит - по разному, по ситуации. Выше правильно сказали что вшитое надо менять на свое при первоначальной настройке сервера…

Проверил гипотезу, озвученную выше в удаленном комментарии (о том как «плохие украинцы» не отвечают русским DNS серверам или блокируют их).

Согласно официальному ответу администрации украинских доменных зон, корневые сервера имен (включая те что находятся на территории Украины) могут не отвечать только если с конкретного адреса зафиксирована DoS атака, и то в течение очень короткого промежутка времени. Никаких блокировок доступа нет.

Вот так вот. Какая-то инициатива ISPsystem по блокировке, возомнили себя Роскомнадзором хотя сами не в состоянии дизайн панели пофиксить уже второй год.

На Украине блокировки неофициальные. Официально они там яндекс с вк блокируют и ещё что-то по мелочи, а на практике - сносят целые AS с русской регистрацией, а местечковые провайдеры зачастую закрывают всё. Потому, если корневой сервер послал в неймсервер какого-то небольшого хостера, вероятность получить отлуп почти 100%.

Ты явно плохо знаком с реалиями провайдеров вна.

Да да да.

Еще одна проблема по теме при установленных правильных DNS (адрес сайта определяется корректно). Вчера случайно обнаружил.

Домены .ua не заблокированные Роскомпозором (нет оснований для законных блокировок), при этом подключение из России на сервер в Германии к любому украинскому домену невозможно, хостинг провайдер говорит что это ТСПУ блокирует на выходе трафика из России. При этом если украинский домен размещен на сервере в России либо защищен (проксированием) Cloudflare, который также имеет сервера в России - работает нормально. Что бы это могло быть если не неофициальные блокировки, инициируемые теми предателями которые руководят работой ТСПУ.

я бы ещё и не такие шутки сделал для посторонних охламонов. :-)

Сразу видно выскоморального воцерковлённого человека. Ха-тьфу!

Сразу видно выскоморального воцерковлённого человека. Ха-тьфу!

А нефиг к чужому DNS с рекурсивными запросами лазить.