PK
Я про то, что ревизору извне можно спуфить
Size: a a a
2017 June 29
AK
Я про то, что ревизору извне можно спуфить
Только если он с паблик IP
AK
И да, ревизору ведь тоже время нужно обойти - а у него не атом
а ревизору ничего обходить не надо.. он долбанется на тот IP который получил в данный момент времени
AK
В общем то блокировка, в моем случае, - вероятностная характеристика
MP
Ттл и поджать же можно
нельзя. я архитектор своей системы и расчет на то, что после истечения срока = ттл абсолютно все свитчнулись на новый хост
MP
а ты сломаешь подтюнив мой ттл
AK
а ты сломаешь подтюнив мой ттл
и тут мы опять возвращаемся к мысли что спуфить DNS - очень плохая идея
MP
Ну да. Блочить - хорошая
EL
возвращаемся к мысли, что давно пора /0 в null
AK
Ну да. Блочить - хорошая
нет. Трогать dns плохая идея. Как только тебя эта мысль проймет до пота.. так можно продолжить разговор
ЛЛ
До Фила наконец дошло как оно работает?
ЛЛ
И да, ревизору ведь тоже время нужно обойти - а у него не атом
Ревизор не обходит. Он получил айпи от днс и сразу туда. А фильтр должен этот адрес добавить в GRT, затратит время на ospf/bgp и т.д
ЛЛ
А учитывая что есть сайты с ттл 1 минуту, то тот айпи что получил ревизор может отличаться от того что получил фильтр
PK
С фазой мне понятно. Я о том, что можно подпиънуть ревизору не то извне. Для этого правда надл пиослушивать сеть
ЕА
Вот если бы в законах и НПА сразу допёрли разделить клиентов операторов на ПОСТАВЩИКОВ контента (хостеров в основном) и ПОТРЕБИТЕЛЕЙ (абонентов, хомячков) -- Phil бы так не агрился? И абонентов-корпоративщиков в отдельную категорию, с их VPN-ами и обязанностью предоставлять списки своих пользователей... тогда для таких можно и не заворачивать DNS.
PK
Слушайте, ну что мы все такие событийные. При всей моей любви ко мне Великому, точка отсчета "Фил агрится" чего не але.
EL
Вот если бы в законах и НПА сразу допёрли разделить клиентов операторов на ПОСТАВЩИКОВ контента (хостеров в основном) и ПОТРЕБИТЕЛЕЙ (абонентов, хомячков) -- Phil бы так не агрился? И абонентов-корпоративщиков в отдельную категорию, с их VPN-ами и обязанностью предоставлять списки своих пользователей... тогда для таких можно и не заворачивать DNS.
вот если бы законы у нас писали мудрые и опытные люди, да?
EL
примерно из той же серии
PK
Нет. Деление происходит только у нас в головах. Прощай фриланс например. Давайте в ногу еще ходить по улицам
ЕА
Теперь подскажите по Я.ДНС, SkyDNS, которые детские у клиентов. Понятно, что есть проблема, коли завернём 53/udp на спуф свой, то Реестр оно заблочит, но "недетские" разрешённые ресурсы -- уже пропустит.
Известно ли кому "полу-спуф" решение, чтоб часть трафа (RPZ из Реестра) спуфить и отдавать от себя IP заглушки, а ОСТАЛЬНОЙ DNS-трафик НЕ спуфить, а слать по назначению на ТЕ DNS, что были указаны абонентом?
Известно ли кому "полу-спуф" решение, чтоб часть трафа (RPZ из Реестра) спуфить и отдавать от себя IP заглушки, а ОСТАЛЬНОЙ DNS-трафик НЕ спуфить, а слать по назначению на ТЕ DNS, что были указаны абонентом?