[ SmilieBG @ 17.09.2003. 18:51 ] @
Pozdrav svima,

Cudi me da nisam naleteo na vec otvoreni topic, pa reko da ga zacnem :)

LM, mozda su neki vec culi sta je Verisign (bivsi Network Solutions) pre par dana uradio. Naime, Verisign ima sva prava na .com i .net root servere. Drugim recima, svi koji registruju .com ili .net zavrse na kraju kod njih (naravno, preko nekog od resellera ili direktno).

Svakako je ovo u poslednjih 6-7 godina, kada se dogodio bum sto se tice registracije domena dovelo do strasno negativnih posledica jer ni jedna firma ne bi administrativno mogla da podrzi takvu ekspanziju. Medjutim, to nije jedino sto meni (a znam i mnogima drugima) smeta kod Verisign-a.

Naime, kao sto poceh, pre neki dan je Verisign napravio sledece u svojim serverima:

svako ko ukuca, greskom ili namerno, jedan jos ne registrovani domein, umesto ocekivane i svima poznate 404 greske se prikazuje webstranica od Verisign-a. Za sada jos nema reklama za registraciju domena kod njih, ali sada mogu da nakace tamo sta god zele. Ovo je veoma komplikovano jer sada korisnik vise nije siguran da li je domen slobodan ili nije.

Druga, veoma zeznuta stvar jeste e-mail. Naime, kada posaljete mail na nepostojeci alias ili domen, u roku od par sekundi (do maksimalno par minuta) dobijate odgovor da sanduce za datu poruku nije pronadjeno. Na osnovu toga mozete da preduzmete dalje korake.

Medjutim, ukoliko sada posaljete mail na neki od nepostojecih domena, dobicete odgovor tek nakon 5 dana (pet dana!). Razlog ovome jeste to sto za jos ne registrovane domene postoji trenutno samo A zapis u DNS-u (nema MX). Mail server koji salje poruku ne moze da nadje MX zapis, pa automatski konsultuje A zapis koji ga upucuje ka serveru gde se nalazi doticna stranica. Taj server prima from i to naredbe, ali NE is data. Sa time, server koji salje veruje da je u zabuni i pokusava ponovo da salje poruku. I ponovo. I ponovo. Tako sve do time-out-a koji je 5 dana.... (generalno).

Dosta providera je vec preduzelo neke mere da se zastiti od ovog, bind je izdao zvanicni patch za server, ali sve to je kruto, i sto je najgore sasvim bespotrebno! Verisign treba zatvoriti i to pod hitno!

Poz,
Smilie
[ UroS @ 17.09.2003. 19:52 ] @
Ne razumem baš najbolje ovaj topik. Kolko sam ja shvatio ti kažeš da ako ukucam www.neregistrovanidomen.com da ću umesto na 404 error naići na stranicu od verisign-a? Prvo što kad probaš neki domen koji ne postoji definitivno nećeš naići na 404 stranicu već grešku da ne postoji taj domen odnosno nije moguće pronaći server i to se dobija direktno od browsera. A drugo uzmem i probam neki neregistrovani *.com domen i dobijem taj error. Treće, verisign je samo jedan od registratora *.com domena i ništa više od toga.
[ alex @ 17.09.2003. 20:20 ] @
Citat:
SmilieBG:
Medjutim, ukoliko sada posaljete mail na neki od nepostojecih domena, dobicete odgovor tek nakon 5 dana (pet dana!).


Jesi probao ovo pa tvrdis da je tako?

Code:

alex@gw:~> telnet fuckafuckafuckafucka.net 25
Trying 64.94.110.11...
Connected to fuckafuckafuckafucka.net.
Escape character is '^]'.
220 snubby2-wcwest Snubby Mail Rejector Daemon v1.3 ready
mail from: [email protected]
250 OK
rcpt to: [email protected]
250 OK
data
550 User domain does not exist.


Njihov server odgovori sa 550, sto znaci da ces i ti odmah dobiti informaciju da domen ne postoji. Ocigledno nema potrebe za cekanjem od 5 dana.

Sad me mdm dopunio da uvek radi reject (lupi tri entera).
[ alex @ 17.09.2003. 20:27 ] @
Citat:
UroS:
Treće, verisign je samo jedan od registratora *.com domena i ništa više od toga.


Verisign nije samo jedan od registratora .com domena:

Citat:
sa verisign sajta:
VeriSign is the authoritative directory provider for all .com, .net, .cc, and .tv domain names.


Pa vi vidite. Ovaj potez VeriSign-a ima dalekosezne posledice, jer VeriSign ispoljava sve vise i vise svojeglavosti u vezi regulisanja nadleznih top-level domena.
[ markom @ 17.09.2003. 20:31 ] @
Citat:
SmilieBG:
Medjutim, ukoliko sada posaljete mail na neki od nepostojecih domena, dobicete odgovor tek nakon 5 dana (pet dana!). Razlog ovome jeste to sto za jos ne registrovane domene postoji trenutno samo A zapis u DNS-u (nema MX). Mail server koji salje poruku ne moze da nadje MX zapis, pa automatski konsultuje A zapis koji ga upucuje ka serveru gde se nalazi doticna stranica. Taj server prima from i to naredbe, ali NE is data. Sa time, server koji salje veruje da je u zabuni i pokusava ponovo da salje poruku. I ponovo. I ponovo. Tako sve do time-out-a koji je 5 dana.... (generalno).


Ovo je problem samo kod "preventivnih" brzopletih konfiguracija.

Kao sto si i sam spomenuo, mnogi provajderi su brze-bolje pozurili da izblokiraju sitefinder.verisign.com ne misleci sta time zapravo postizu.

Ukoliko izblokiras saobracaj ka/od date IP adrese, efekat je upravo to sto opisujes. Jedini pravi workaround je modifikacija samog name servera da analizira odgovor od nadredjenog servera (u mnogim slucajevima direktno *.root-servers.net) i da u slucaju odgovora koji odgovara sitefinderu, vrati NXDOMAIN, kao sto je i red.

No, ako je Verisign bas zapeo da ovo progura (a to cemo vrlo uskoro videti), lako mogu da "rasprse" odgovore da ne bude samo jedna IP adresa vec vise stotina ili pak hiljada. Ukoliko iste nisu jedinstveno adresabilne (hint: subnetting :->), bice veselo videti workaround ...


Marko.
[ Dusan Marjanovic @ 17.09.2003. 20:43 ] @
Citat:
UroS:
www.neregistrovanidomen.com da ću umesto na 404 error naići na stranicu od verisign-a? Prvo što kad probaš neki domen koji ne postoji definitivno nećeš naići na 404 stranicu već grešku da ne postoji taj domen odnosno nije moguće pronaći server i to se dobija direktno od browsera. A drugo uzmem i probam neki neregistrovani *.com domen i dobijem taj error. Treće, verisign je samo jedan od registratora *.com domena i ništa više od toga.

Upravo to kaže...i jel si ti, boga ti, siguran da je to tako kao što kažeš ili si se možda prevario i uzput slabo pratio slashdot or some other news portal?

Citat:

Copyright© 2003 VeriSign, Inc. All Rights Reserved
Privacy Policy | Terms Of Use | Content Filtering Preferences | Help

odakle ovo "direktno u mom browseru" pitam se?
PS.
Nemoj biti tako isključiv i arogantan, čak i ako si 100% siguran u ono što pričaš, a pogotovu (kao npr. u ovom slučaju) kad nisi.
[ Goran Rakić @ 17.09.2003. 22:36 ] @
Verat blokira sav saobraćaj prema 64.94.110.11 što je loše jer moj mail server ne može da dobije odgovor 550 od sitefinder-a, već se gubi žestoko. Treba malo sačekati sa implementacijom zaštite (tj. videti da li verisign ima nameru da servis "proširi"). Djbdns ima lepi patch koji za svaki upit koji vrati ovu ip adresu (plus možeš ubaciti svoje ip adrese - ako verisign proširi sistem) kao odgovor, vraća da domen ne postoji, pa se ni mail server (SMTP) ne buni, a spam filteri i ostalo šljaka lepo.
[ UroS @ 18.09.2003. 00:04 ] @
Citat:
MAdafaKA:
odakle ovo "direktno u mom browseru" pitam se?
PS.
Nemoj biti tako isključiv i arogantan, čak i ako si 100% siguran u ono što pričaš, a pogotovu (kao npr. u ovom slučaju) kad nisi.


Pa kao što rekoh nije mi bilo jasno nisam bio upućen u ovo i prosto mi nekako to zvuči neverovatno, a sad tek vidim o čemu se radi...
[ B o j a n @ 18.09.2003. 10:53 ] @
Citat:
mdm:
bice veselo videti workaround ...
Marko.



Evo jednog, i to brzog i prljavog:
Code:

bc@serafim:~$ host -t a 0xffffffffffffffffffffffffffffffffffffffffffffffff.com | awk -Faddress '{print $2}' \
> /service/dnscache/env/IGNOREIP



I to sa patch-em koji je Gox pomenuo ...

u kombinaciji sa cron-om deluje kao poprilicno trajno resenje, ne?
[ B o j a n @ 18.09.2003. 10:55 ] @
I da ... jedan copy&paste:

Bind9 patch:
http://www.isc.org/products/BIND/delegation-only.html
Bind8 patch:
http://achurch.org/bind-verisign-patch.html
Djbdns patch:
http://tinydns.org/djbdns-1.05-ignoreip.patch
PowerDNS patch:
http://www.imperialviolet.org/binary/powerdns.patch
Userfriendly :)
http://ars.userfriendly.org/ca.../?id=20030917&mode=classic

[ markom @ 18.09.2003. 11:11 ] @
Citat:
B o j a n:
u kombinaciji sa cron-om deluje kao poprilicno trajno resenje, ne?


Pa ne :-)

Prvo, ovo predvidja mogucnost da bude samo jedna IP adresa kao rezultat koja se menja po nekom vremenskom algoritmu (hint: >). Ne resava problem DNS round-robin rezultata...

Marko.
[ SmilieBG @ 18.09.2003. 12:08 ] @
Dobro, polako, vest se tek pojavila. Sigurno ce trebati jos par dana da se informacija od root do ostalih servera prosiri...

Ali bice vrlo zanimljivo, jer cisto sumnjam da ce svi administratori na iste nacine zastititi. Bas me zanima kakve ce to sve samo rezultate dati sto se tice surfovanja i slanja mail-a.

Mozda, sad mi nesto pada na pamet, bi bilo moguce izvesti da se konsultuje whois od Verisigna...? Moram da proverim da li su i tamo nesto cackali... Koliko mi se za sada cini nisu. Mada su u poslednje vreme i whois funkciju preko sajta zastitili sa unosenjem sifre... :-(

Ali ono sto je po meni daleko bitnije od same promene koju je Verisign napravio, jeste drskost da tako nesto urade. Samim tim pokazuju da mogu da rade sta im je volja i da niko ne moze da im stane na put...! E to mi smeta!
[ broker @ 18.09.2003. 12:21 ] @
Nesto razmisljam, sta bi bilo kad bi svaki od provajdera namestio svoj DNS da ako trazeni domen nepostoji upucuje na neku reklamnu stranu tog provajdera. Pogadjalo bi samo njihove korisnike ali je u sustini isto sto radi i Verisign.

Jednostavno, neke stvari se ne rade a Verisign sebi cesto dozvoljava da radi to sto se inace ne radi.


Pedja
[ SmilieBG @ 18.09.2003. 12:36 ] @
Koliko sam ja razumeo je upravo to i zabranjeno, i jedan od RFC-a nalaze da se za ne registrovane domene mora ispisivati 404 stranica... Mozda i gresim... Ali :)
[ alex @ 18.09.2003. 12:49 ] @
Ljudi,

shvatite da ovaj DNS problem nije usko vezan samo sa HTTP protokolom. SmilieBG, taj RFC o kome pricas ne definise da se mora ispisivati 404 stranica (404 je, usput, page not found a ne domain not found) vec da svaki zahtev za nepostojecim domenom dobija rezultat NXDOMAIN (no such domain).
[ SmilieBG @ 18.09.2003. 12:56 ] @
He, imam ja jos da ucim cini mi se :)

Ali ukoliko su prekrsili RFC pravilo, ne bi smeli tek tako da se izvuku. Pogotovo ne kad je impact ovoliko veliki.

Koliko sam ja do sada uspeo da procitam, radi se o tome da su oni za svaki ne registrovani domen napravili A zapis u DNS-u koji upucuje na pomenutu adresu od Verisign-a. To onda znaci da se ne dobija da domen ne postoji (nije registrovan)?

Zar ne bi to trebalo da ima onda i uticaja na Whois (mada whois sa druge strane se na drugom portu nalazi i sigurno drugacije koristi nego site...?).

Poz,
Smilie

PS. smejanje na moje provale je dozvoljeno samo ukoliko isti daju i pravo objasnjenje na moju glupost :-)

PS2. glupost je neunistiva ;-)
[ B o j a n @ 19.09.2003. 08:53 ] @
Citat:
mdm:
(hint: >).


Eeehhmm ...

Code:

bc@serafim:~$ host -t a www.yahoo.com | awk -Faddress '{print $2}' > /tmp/black
bc@serafim:~$ cat /tmp/black 

 216.109.118.76
 216.109.118.78
 216.109.118.64
 216.109.118.65
 216.109.118.66
 216.109.118.68
 216.109.118.69
 216.109.118.70

Zar to nije to ??

Marko, Marko ... man stdout pod odmah!
[ alex @ 19.09.2003. 10:42 ] @
Citat:
SmilieBG:
Ali ukoliko su prekrsili RFC pravilo, ne bi smeli tek tako da se izvuku. Pogotovo ne kad je impact ovoliko veliki.


Naravno da ne bi smeli da se izvuku, a i nece, po svemu sudeci. Pojavila se i prva tuzba protiv Verisign firme:
http://reuters.com/newsArticle...ternetNews&storyID=3471297

Citat:

Zar ne bi to trebalo da ima onda i uticaja na Whois (mada whois sa druge strane se na drugom portu nalazi i sigurno drugacije koristi nego site...?).


Nema uticaja na whois, svaki query za nepostojeci domen ce vratiti rezultat da domen ne postoji.

Code:

alex@nsa:~$ dig www.nepostoji.com
;; ANSWER SECTION:
www.nepostoji.com.      708     IN      A       64.94.110.11
alex@nsa:~$ whois nepostoji.com
No match for "NEPOSTOJI.COM".

[ markom @ 19.09.2003. 11:06 ] @
Citat:
B o j a n:
zar to nije to ??


Pa ne :-)

> - Pise u odredisni fajl tako sto ga otvori u "w" (write) modu
>> - Pise u odredisni fajl tako sto ga otvori u "a" (append) modu

Code:

[root@cod root]# host -t a cnn.com | awk -F"address " '{print $2}' > /tmp/a  
[root@cod root]# cat /tmp/a 
64.236.24.28
64.236.16.20
64.236.16.52
64.236.16.84
64.236.16.116
64.236.24.4
64.236.24.12
64.236.24.20
[root@cod root]# host -t a yahoo.com | awk -F"address " '{print $2}' > /tmp/a
[root@cod root]# cat /tmp/a 
66.218.71.198
[root@cod root]# rm -f /tmp/a 
[root@cod root]# host -t a cnn.com | awk -F"address " '{print $2}' >> /tmp/a  
[root@cod root]# cat /tmp/a 
64.236.16.116
64.236.24.4
64.236.24.12
64.236.24.20
64.236.24.28
64.236.16.20
64.236.16.52
64.236.16.84
[root@cod root]# host -t a yahoo.com | awk -F"address " '{print $2}' >> /tmp/a
[root@cod root]# cat /tmp/a 
64.236.16.116
64.236.24.4
64.236.24.12
64.236.24.20
64.236.24.28
64.236.16.20
64.236.16.52
64.236.16.84
66.218.71.198


Ovo sa stdout nema nikakve veze :-)


Marko.
[ IHThUS @ 24.09.2003. 19:28 ] @
Što se bre primate na to što radi VeriSign?

Može im se, pa rade ono što im odgovara!
[ broker @ 25.09.2003. 16:44 ] @
GoDaddy podneo tuzbu protiv VeriSign-a

http://www.godaddy.com/gdshop/...rom%5Fapp=&mscssid=1403796
[ IHThUS @ 26.09.2003. 23:50 ] @
To nije jedina a ni prva tužba protiv VeriSign-a.