JAVA → Java DNS API, Wikipedia и twitter-марафон в одном флаконе из песочницы
Некоторое время назад я решал задачу автоматической покупки домена. Нужно было оформить в виде библиотеки (jar и файл настроек), которая использовалась бы в корпоративном приложении на Java. Я начал поиски DNS провайдеров с public API. Желательно, чтобы API были попроще, и домены подешевле — такой баланс оказалось не просто найти.
Сетевые технологии → DNS сервер BIND (теория)
Основная цель DNS — это отображение доменных имен в IP адреса и наоборот — IP в DNS. В статье я рассмотрю работу DNS сервера BIND (Berkeley Internet Name Domain, ранее: Berkeley Internet Name Daemon), как сАмого (не побоюсь этого слова) распространенного. BIND входит в состав любого дистрибутива UNIX. Основу BIND составляет демон named, который для своей работы использует порт UDP/53 и для некоторых запросов TCP/53.
Исторически, до появления доменной системы имен роль инструмента разрешения символьных имен в IP выполнял файл /etc/hosts, который и в настоящее время играет далеко не последнюю роль в данном деле. Но с ростом количества хостов в глобальной сети, отслеживать и обслуживать базу имен на всех хостах стало нереально затруднительно. В результате придумали DNS, представляющую собой иерархическую, распределенную систему доменных зон. Давайте рассмотрим структуру Системы Доменных Имён на иллюстрации:
Основные понятия Domain Name System
Исторически, до появления доменной системы имен роль инструмента разрешения символьных имен в IP выполнял файл /etc/hosts, который и в настоящее время играет далеко не последнюю роль в данном деле. Но с ростом количества хостов в глобальной сети, отслеживать и обслуживать базу имен на всех хостах стало нереально затруднительно. В результате придумали DNS, представляющую собой иерархическую, распределенную систему доменных зон. Давайте рассмотрим структуру Системы Доменных Имён на иллюстрации:
Информационная безопасность → Взлом VeriSign в 2010 году
В квартальной форме отчётности 10-Q для комиссии SEC компания VeriSign упомянула факт неоднократного несанкционированного доступа в её корпоративную сеть в 2010 году. Как сообщает компания, неизвестные «получили доступ к данным на маленькой части наших компьютеров и серверов». Какая конкретно информация попала к злоумышленникам — неизвестно, но «мы провели расследование и не верим, что эти атаки проникли к серверам, на которых работает система DNS», указано в отчёте на странице 33.Информация была доведена до менеджмента только в сентябре 2011 года. VeriSign вынуждена разгласить эти факты в связи с новыми требованиями SEC по публикации информации о взломах.
Напомним, что у VeriSign размещаются два из 13-ти корневых серверов DNS, а до августа 2010 года компания также являлась Удостоверяющим центром (Certification authority), который выпускал сертификаты ключей электронной цифровой подписи, затем этот бизнес был продан Symantec.
Блог компании Websitepulse → Великий китайский золотой щит. Часть 2
В предыдущем посте мы кратко рассмотрели историю Golden Shield Project. Значительная часть его — Great Firewall of China. Какова главная цель? Буквально, контроль всего траффика, как в стране, так и за ее пределами. Как бы это не звучало, но эта сложная задача выполняется очень простым и эффективным способом.
Зеркальная технология
Первое, что власти используют для контроля над деятельностью своих пользователей Интернета является mirroring – т.е. то, что обычно используется для простого копирования или бэкапа. Большинство интернет-соединений между Китаем и остальным миром проводится очень небольшим количеством оптико-волоконных кабелей, которые вводятся в страну через три основных пункта — Beijing-Qingdao-Tianjin (северные области); Shanghai на центральном побережье и Guangzhou на юге страны. На каждом из этих шлюзов есть устройства, называемые tapper или network sniffer, которые отражают каждый одиночный пакет данных, входящих, или исходящих из страны. Однако, процессы отражения, происходящие в этих шлюзах, имеет очень буквальные стороны. Собранная информация идет через оптико-волоконные кабели как маленькие световые импульсы. Эти импульсы проходят через Chinese gateway routers и в то же время многочисленные маленькие зеркала отражают их и делают так, что бы информация дошла до surveillance («Golden Shield ») компьютеров, которые «решают», должна ли быть заблокирована данная информация. Ну а каким образом китайская сторона разработала эту „зеркальную” технологию? Все просто — Китай купил ее у одной очень известной компании.
Системное администрирование → BIND: храним зоны в mysql (Dynamically Loadable Zones — BIND DLZ)
Возможность Berkeley Internet Name Daemon (BIND) хранить зоны DNS в базе mysql не шибко известна и крайне плохо документирована. Документация заморожена на моменте включения отдельного патча DLZ в основную ветку BIND, а это BIND 9.4.* и 2005-2006 годы. Я постараюсь хотя бы частично восполнить этот пробел, выложив под хабракатом рабочие на данный момент инструкции с примерами. Мое описание совершенно не претендует на полноту, но простейшую зону прописать позволит.Отдельно хочу заметить, что DLZ поддерживает не только mysql, список поддерживаемых хранилищ также под хабракатом.
Хостинг → Проблемы с DNS компании .masterhost 24.12.2011 г
Около восьми утра 24.12.2011 г. возникли проблемы с доступом к сайтам, размещённым на хостинге компании .masterhost.
В службе поддержки пользователей по телефону 8-800-200-97-20 пояснили, что есть проблема с DNS, технические специалисты заняты её разрешением.
К главной странице сайта компании доступ есть, к панели управления — отсутствует. Нет доступа к ряду сайтов и электронной почте.
Скриншот страницы, выводимой вместо панели управления.
Официальный твиттер компании .masterhost сообщает некоторые новости.
Update: В 10 часов появился и снова пропал доступ к панели управления, авторизоваться не получилось.
На 11:30 24.12.2011 г. проблема сохраняется.
В 11:55 твиттер мастерхоста сообщил: «Все сервисы работают в штатном режиме. Если у вас есть локальное кеширование DNS, попробуйте обновить кеш».
Мои сайты и почта заработали, доступ в панель инструментов появился.
Запись в твиттере компании в 13:21: «От руководства: авария существенная; будет расследована; виновные понесут наказание, пострадавшим клиентам — компенсационные начисления».
И ещё: «За компенсациями лучше обращайтесь заявками — быстрее начислят. Начислений будет много, очередь может растянуться до вторника», а также «заявку писать обязательно. Это формальное основание для зачисления средств. Закон запрещает нам раздавать деньги просто так».
Вечером 3.80 у.е. зачислили на лицевой счёт.
В службе поддержки пользователей по телефону 8-800-200-97-20 пояснили, что есть проблема с DNS, технические специалисты заняты её разрешением.
К главной странице сайта компании доступ есть, к панели управления — отсутствует. Нет доступа к ряду сайтов и электронной почте.
Скриншот страницы, выводимой вместо панели управления.
Официальный твиттер компании .masterhost сообщает некоторые новости.
Update: В 10 часов появился и снова пропал доступ к панели управления, авторизоваться не получилось.
На 11:30 24.12.2011 г. проблема сохраняется.
В 11:55 твиттер мастерхоста сообщил: «Все сервисы работают в штатном режиме. Если у вас есть локальное кеширование DNS, попробуйте обновить кеш».
Мои сайты и почта заработали, доступ в панель инструментов появился.
Запись в твиттере компании в 13:21: «От руководства: авария существенная; будет расследована; виновные понесут наказание, пострадавшим клиентам — компенсационные начисления».
И ещё: «За компенсациями лучше обращайтесь заявками — быстрее начислят. Начислений будет много, очередь может растянуться до вторника», а также «заявку писать обязательно. Это формальное основание для зачисления средств. Закон запрещает нам раздавать деньги просто так».
Вечером 3.80 у.е. зачислили на лицевой счёт.
Системное администрирование → Подключение сети к глобальному IPv6 пространству
Некоторое время назад в комментариях к статье «IPv6 шлюз для локальной сети» меня попросили рассказать о том, как я активировал IPv6 в одном из своих проектов. Начну с пары слов о самом проекте. CareNet — это результат кооперации двух крупных Шведских университетов: KTH Royal Institute of Technology и Karolinska Institutet. Вкратце, CareNet — это система, позволяющая наблюдать паллиативных пациентов вне больницы. У пациента дома устанавливается небольшое устройство, которое имеет доступ в Интернет и подключено посредством VPN к серверам CareNet. Устройство включает в себя HDVC-клиент, набор сенсоров для контроля состояния пациента и средства доступа к медицинскому порталу, содержащему всю информацию о пациенте. Медицинская информация доступна как самому пациенту, так и доктору.
Персональные блоги → DeSopa: расширение Firefox для обхода SOPA
Хотя законопроект SOPA ещё не принят, интернет-активисты начали готовиться к худшему — блокировке на уровне DNS определённых доменов на территории США. Создаются списки IP-адресов популярных сайтов (так называемый SOPA emergency list для прописки hosts.txt).
Для обхода подобной блокировки разработано расширение DeSopa, которое просто получает IP-адрес любого домена с альтернативного независимого DNS-сервиса, который не подпадает под юрисдикцию США. В дальнейшем загрузка сайта осуществляется непосредственно по IP.
Разработчики предупреждают, что в случае принятия SOPA появятся сотни и тысячи таких программ для доступа по альтернативным каналам к «заблокированному» контенту. Люди начнут использовать сеть анонимайзеров Tor, альтернативные сети вроде Darknet, P2P и криптографическую защиту трафика. Всё это грозит фрагментацией интернета, не говоря уже о полной дискредитации DNS-системы (переход на P2P DNS), и угрожает безопасности Сети, так что в конечном счёте SOPA является большой ошибкой.
Проект DeSopa на github
DeSopa не распознаёт поддомены и виртуальные хосты.
Для обхода подобной блокировки разработано расширение DeSopa, которое просто получает IP-адрес любого домена с альтернативного независимого DNS-сервиса, который не подпадает под юрисдикцию США. В дальнейшем загрузка сайта осуществляется непосредственно по IP.Разработчики предупреждают, что в случае принятия SOPA появятся сотни и тысячи таких программ для доступа по альтернативным каналам к «заблокированному» контенту. Люди начнут использовать сеть анонимайзеров Tor, альтернативные сети вроде Darknet, P2P и криптографическую защиту трафика. Всё это грозит фрагментацией интернета, не говоря уже о полной дискредитации DNS-системы (переход на P2P DNS), и угрожает безопасности Сети, так что в конечном счёте SOPA является большой ошибкой.
Проект DeSopa на github
DeSopa не распознаёт поддомены и виртуальные хосты.
Системное администрирование → IPv6 шлюз для локальной сети
Для проверки готовности локальной офисной сети к возможности перехода на протокол IPv6 мною был организован испытательный стенд на основе сервера с FreeBSD, являющийся шлюзом для доступа в IPv6 интернет и сервером популярных сетевых ресурсов (WEB, eMail, FTP). Выбор FreeBSD обусловлен наличием уже существующей виртуальной машины с этой системой. Далее я немного расскажу как всё было настроено (не в даваясь в теоретические подробности построения и адресации IPv6) и попытаюсь обрисовать ситуацию о готовности существующих систем и программ к использованию с IPv6 на примере тех сервисов, которые мне удалось протестировать, как со стороны клиента, так и со стороны сервера. Эксперименты активно проводились в период месяц «до» и месяц «после» «Дня IPv6» 8 июня 2011, поэтому сейчас ситуация с поддержкой в некоторых программах может измениться в лучшую сторону.
Блог компании Websitepulse → Советы по сетевой оптимизации веб-сайта
Оптимизация современного сайта состоит из многих различных аспектов. Все они носят ключевые значения для Вашего бизнеса. Что бы назвать сайт оптимизированным, он должен отвечать следующим требованиям:
– отвечать клиентским запросам как можно быстрее
– быть правильно сконструированным и простым в использовании
– иметь возможность быть использованным людьми с различными физическими недостатками
– иметь возможность быть использованным независимо от потребительского браузера
– быть легко находимым современными поисковыми машинами
Первый пункт из этих аспектов «отвечать клиентским запросам как можно быстрее», пожалуй, наиболее комплексный и трудно достижимый. Это означает, что если пользователь хочет загрузить данную страницу, или отправить некую форму, запрашиваемая страница должна быть как можно быстрее загружена в его браузер.
Быстрая загрузка страницы зависит как от оптимизации клиентского кода HTML / CSS / JavaScript, так и от работы сервера.