Vlákno názorů k článku Testujte síťové prostředí pořádně, jinak vám vyjdou nesmysly (CSNOG 2024) od ` - Článek je hutně nabitý informacemi, něco mi není...
-
Článek je hutně nabitý informacemi, něco mi není jasné, tak se zeptám
DNS:
Co jsou ty naše evropské hodnoty, pardon problémy Jaké jsou v Americe a asii, jak problémy tak hodnoty? Měl jsem původně dotaz, kdo je cílový uživatel takového DNS4U a odpovím si sám, je správně DNS zajišťující evropské hodnoty?Ten resolver má mít dvě tváře? Jedna "Anonymizace", která nesbíra data o uživatelích a druhá Omezující? Nebo Třetí Telekomuničaní a čtvrtá vládní všesbírající?
Co zanmená, že resolver by měl chránit i sebe sama: (Kromě toho, že chrání zbytek internetu)
Kvantum siláže:
O jakých middleboxech je řeč? Nebo spíš kde. Představím si pod tím nějakou černou krabičku od vojenského zpravodajství, která snaž poslouchat, semtam něco rozkousknout, ale s některými verzemi TLS nedetekuje jako TLS a zahazuje je. Souvisí to s "opaque protokoly" Něco jako quic, ze kterého nic není vidětOpravdu MSS už má hodnotu 10? Jakých jednotek? Bajtů? Jestli si to pamatuju dobře, tak MSS vychází z MTU,aby se nepřenášely fragmentované pakety IP. Jak je MSS definován pro ne-TCP protokoly?
DNS STACK?
To je i hardware ten nový stack?Ona ta amplituda a fáz je jinak vyádřená lineární kombinace Re a Im Složky.
-
Ad DNS4EU:
"Evropské problémy" mohou být například phishingové útoky mířené na občany evropských zemí - z nedávného dění v ČR lze vypíchnout různé podvody mířící na české klienty bank, falešné SMS od dopravců, útoky směřované na zájemce o různé sociální příspěvky apod. Takovéto útoky lze velmi efektivním způsobem odvrátit tím, že DNS resolvery jednoduše nebudou překládat dané domény patřící útočníkům. Oproti americkým a asijským resolverům, které se v takové míře nemusí zabývat útoky lokálně mířenými na Evropu, by toto pro DNS4EU mělo být jednou z priorit.
"Dvě tváře" - dost možná jich bude i více, nicméně hlavní idea je poskytnout vícero variant resolveru s různými funkcionalitami (zejména se tedy asi budou lišit výběrem blocklistů) dle uživatelovy volby. Tzn. nějaký, který nebude blokovat nic; nějaký, který bude blokovat jen phishing a malware; nějaký, který k tomu bude blokovat třeba porno (tj. rodičovská kontrola) apod.
"Ochrana sebe sama" je míněna ve smyslu (D)DoS útoků, tj. že resolver bude umět efektivně omezit či úplně odmítnout provoz, který jej má za cíl zahltit a znefunkčnit. Ochrana zbytku internetu ve stejném odstavci se týká rovněž (D)DoS útoků, kterých lze dosahovat kvůli tomu, jak je principiálně postaven protokol DNS nad UDP - tzv. DNS amplification attack.
