Hacker News Digest

Cloudflare удалила домены ботнета Aisuru из своего публичного рейтинга самых запрашиваемых сайтов после того, как они несколько дней занимали верхние позиции, обойдя Amazon, Apple, Google и Microsoft. Aisuru, стремительно растущий ботнет из сотен тысяч взломанных IoT-устройств, переключился с DNS-серверов Google на Cloudflare (1.1.1.1), что позволило его доменам доминировать в рейтинге. Генеральный директор Cloudflare Мэтью Принс объяснил: "Атакующие просто генерируют массу запросов, возможно, чтобы повлиять на рейтинг, но также и для атаки на нашу DNS-сервис".

Ботнет, способный запускать DDoS-атаки до 30 терабит в секунду, использовал домены, имитирующие крупных облачных провайдеров, и даже один из доменов занимал первое место с адресом улицы в Массачусетсе. Эксперты отмечают, что это выявляет недостаток в системе рейтингов Cloudflare, которая должна отражать реальное использование людьми, а не просто объем DNS-запросов. "Это провал со стороны Cloudflare, который ставит под угрозу доверие и целостность их рейтингов", — считает CEO компании Epi Алекс Гренланд.

• Обсуждение критикует Cloudflare за публикацию списка «топ-100 доменов» без категоризации, что делает невозможным отфильтровать вредоносные домены, и ставит под сомнение саму методологию подготовки таких списков.
• Участники спора поднимают вопрос о том, что невозможно отличить бот-трафик от реального трафика, и что это может быть не более чем маркетинговый трюк.
• Также обсуждается, что если бы список был бы полностью прозрачен, то он мог бы включать в себя и вредоносные домены, что ставит под сомнение ценность такого списка.
• Некоторые комментаторы также поднимают вопрос о том, что если бы список был бы полностью прозрачен, то он мог бы включать в себя и вредоносные домены, что ставит под сомнение ценность такого списка.

Cloudflare представила Oxy - новый прокси-фреймворк, написанный на Rust, который служит основой для нескольких ключевых продуктов компании, включая Zero Trust Gateway и iCloud Private Relay. Разработанный с учетом опыта создания высоконагруженных прокси, Oxy позволяет реализовывать современные протоколы связи и строить сложные сервисы для обработки огромного трафика.

Фреймворк предоставляет программный контроль над всеми аспектами проксирования: от декапсуляции протоколов и анализа трафика до маршрутизации и DNS. Oxy тесно интегрирован с внутренней инфраструктурой Cloudflare, но при этом настраивается под нужды приложений. Инженеры могут начать с базового решения, которое не требует написания кода, и постепенно добавлять функции через расширяемые точки. Например, для создания HTTP-файрвола достаточно реализовать обработчики запросов и ответов, а для L4-файрвола - добавить аутентификацию или георouting.

• Обсуждение в основном вращается вокруг негативного опыта с Cloudflare Tunnels и их IPv6-ограничений, а также сравнения с другими решениями вроде Tailscale и ngrok.
• Участники жалуются на плохую документацию, отсутствие прозрачности и "vendor lock-in" при использовании продуктов Cloudflare.
• Обсуждение также затрагивает вопросы лицензий, сравнение с другими решениями и влияние на разработчиков.
• Некоторые участники делятся личным опытом и альтернативными инструментами вроде localtunnel и Tailscale.
• В целом, обсуждение подчеркивает сложность выбора между удобством и контролем над инфраструктурой, особенно в контексте разработки ПО.

AWS опубликовал отчет о недавнем сбое, связанном с race condition в системе управления DNS. Автор статьи воспроизвел упрощенную версию проблемы с помощью верификатора моделей Spin и языка Promela. В системе участвуют DNS Planner (создает планы) и три независимых DNS Enactor (применяют планы в разных зонах доступности). Race condition возникает, когда один Enactor применяет новый план и начинает очистку старых, в то время как другой, отставший, все еще обрабатывает более старый план. Когда первый Enactor завершает очистку, он удаляет этот "старый" план, который на самом деле еще активен, что приводит к исчезновению DNS-записей.

Используя Spin, автор смоделировал Planner и два параллельных Enactor. Каждый Enactor проверяет свежесть плана перед применением и отслеживает высший примененный план. Во время очистки он удаляет только значительно более старые версии, но если удаляемый план совпадает с текущим активным, это сбрасывает флаг dns_valid в false. Spin систематически проверял все возможные состояния системы и обнаружил последовательность действий, приводящую к race condition, подтвердив уязвимость.

• Пользователи обсуждают, что формальные методы (TLA+, Alloy и т.д.) могли бы предотвратить инцидент, если бы инвариант «не удалять активный план» был бы формализован и проверялся непрерывно.
• Обсуждается, что реальные системы часто отклоняются от «чистой» модели из-за компромиссов с производительностью и стоимостью хранения логов и т.д.
• Участники спора сходятся в том, что даже если бы формальные методы были бы применены, они бы не предотвратили бы ошибку, если бы не было процесса, который бы гарантировал, что модель и код синхронизированы.
• Некоторые комментаторы подчеркивают, что даже самые продвинутые инструменты не могут предотвратить ошибки, если нет культуры их использования и процессов, которые бы обеспечивали бы, что модель всегда актуальна.
• В конце концов, большинство соглашается, что самым важным является не наличие формальных методов, а культура их использования и процессов, которые бы гарантировали бы, что модель всегда отражает код.

uBlock Origin Lite - это эффективный и легкий блокировщик контента от создателя оригинального uBlock Origin, доступный бесплатно для всех устройств Apple. Приложение использует те же фильтры, что и его десктопная версия, включая EasyList и EasyPrivacy, но при этом полностью декларативное, не потребляя системных ресурсов во время работы. Последнее обновление от 20 октября 2025 года добавило автоматический выбор оптимальных правил для новых разрешенных хостов.

Пользователи высоко оценили приложение, дав ему максимальный рейтинг 5.0 на основе 34 отзывов. Многие отмечают, что долго ждали появления uBlock Origin на iPadOS, и рады, что приложение теперь доступно на всех устройствах Apple. Приложение не собирает никаких пользовательских данных, что делает его безопасным выбором для защиты приватности.

• uBlock Origin Lite на iOS не работает в Safari внутри приложений из-за ограничений WebExtensions, что делает его менее универсальным.
• Orion для iOS поддерживает установку uBlock Origin, но не может быть установлен как браузер по умолчанию.
• Wipr 2 и NextDNS продолжают быть актуальными альтернативами, но не блокируют рекламу в приложениях.
• YouTube Shorts и реклама в нём не блокируются никаким из доступных инструментов.
• DNS-уровень блокировки рекламы вроде NextDNS или DNS4EU не требует установки приложения и работает на всём устройстве.

Недавно на рейсе British Airways из Гонконга в Лондон автор обнаружил бесплатный WiFi для "сообщений" через программу лояльности. Оказалось, что для регистрации достаточно ввести email без верификации прямо в полёте. Бесплатный интернет работал с WhatsApp, Signal и WeChat (без изображений), но блокировал Discord и обычные сайты.

Автор выяснил, что система использует SNI (Server Name Indication) из TLS-рукопожатия для определения типа трафика. SNI раскрывает домен до установления шифрования, позволяя авиакомпании блокировать не-whitelisted домены. Эксперименты показали, что даже прямые подключения по IP без SNI блокируются, а использование SNI от WhatsApp (wa.me) обходит ограничение, позволяя установить соединение с любым сайтом через хост-заголовок HTTP.

• Обсуждение началось с описания способа обхода ограничений Wi-Fi в самолётах и круизных лайнерах с помощью VPN, DNS-туннелирования и прочих техник, включая использование порта 53/UDP и DNS-over-HTTPS.
• Участники обменялись историями о том, как они обходили плату за Wi-Fi в полёте, используя различные комбинации инструментов вроде OpenVPN, WireGuard, Iodine и прочих.
• Обсуждались также такие темы, как SNI-утечки, обфускация трафика и их влияние на приватность пользователей.
• Упоминались также вопросы о том, как авиакомпании и другие транспортные компании могут отслеживать и ограничивать использование VPN и прокси-серверов.
• В конце обсуждение перешло к обсуждению более широких тем, таких как приватность и безопасность в сети, а также о том, как технические меры могут быть использованы для обхода цензуры и ограничений.

В течение 19 и 20 октября 2025 года сервис Amazon DynamoDB в регионе Северной Вирджинии (us-east-1) столкнулся с серией сбоев, повлиявших на клиентов. Проблема началась 19 октября в 23:48 по тихоокеанскому времени и завершилась 20 октября в 14:20. Событие развивалось в три этапа. Сначала, до 2:40 утра 20 октября, клиенты испытывали повышенное количество ошибок API при обращении к DynamoDB. Во-вторых, с 5:30 утра до 14:09 20 октября, Network Load Balancer (NLB) испытывал повышенные ошибки подключения для некоторых балансировщиков. В-третьих, с 2:25 до 10:36 утра 20 октября, запуски новых экземпляров EC2 терпели неудачу, а те, что запустились, имели проблемы с подключением до 13:50.

Причиной инцидента стала редкая race condition в системе управления DNS DynamoDB. Эта система, ключевая для масштабируемости и отказоустойчивости DynamoDB, состоит из двух частей. DNS Planner создает планы обновления DNS на основе состояния пула серверов. DNS Enactor применяет эти планы, обновляя Route53 (систему DNS AWS). Обычно это работает надежно, но в данном случае два экземпляра DNS Enactor одновременно попытались обновить одну и ту же запись DNS, что привело к ее очистке. В результате, адрес dynamodb.us-east-1.amazonaws.com стал указывать в пустоту, и клиенты не могли установить соединение. Проблема была обнаружена и исправлена к 2:40 утра 20 октября, но вторичные эффекты привели к последующим инцидентам.

С 5:30 утра до 14:09 20 октября, Network Load Balancer (NLB) испытывал повышенные ошибки соединения для некоторых балансировщиков. Это было вызвано тем, что вторичный эффект инцидента DynamoDB привел к тому, что часть трафика NLB перенаправлялась на экземпляры, которые сами зависели от DynamoDB и стали недоступны. Это создавало каскадный эффект: пока DynamoDB был недоступен, часть трафика NLB терялась, что привело к ошибкам.

С 2:25 до 10:36 утра 20 октября, запуски новых экземпляров EC2 терпели неудачу. Это произошло потому, что сервис управления EC2 использует DynamoDB для хранения состояния, и когда DynamoDB был недоступен, он не мог создавать новые экземпляры. В 10:37 запуски возобновились, но до 13:50 некоторые экземпляры имели проблемы с сетью, так как они были созданы без полной конфигурации сети из-за race condition с NLB.

• AWS постмортем выглядит как маркетинговый документ, а не как техдок, что вызывает скепсис в честности их расследования.
• Сложность системы и отсутствие единого источника правды делает невозможным понять, действительно ли это была гонка условий или просто человеческая ошибка.
• Система, которая не может гарантировать согласованность DNS-записей, может быть сама по себе причиной сбоя.
• Похоже, что AWS не имеет четкого плана восстановления после сбоя, и их инструменты для этого зависят от самой системы, которую они пытаются восстановить.
• Постоянные сбои внутри AWS указывают на то, что их собственная инфраструктура неустойчива к сбоям, что вызывает вопросы о том, как они могли бы справиться с более серьезным инцидентом.

• CDB — это формат, оптимизированный для чтения и случайных поисков, но не для записи, что делает его полезным для специфических сценариев использования.
• Он не поддерживает обновление данных, вместо этого требуется перезаписывать весь файл, что делает его неподходящим для больших баз данных.
• Некоторые участники обсуждения отметили, что CDB может быть полезен для конфигурационных файлов, DNS записей, или других сценариев, где данные нечасто обновляются.
• Были упомянуты альтернативы, такие как RocksDB, которые могут быть более подходящими для других сценариев.
• В конце обсуждение перешло к тому, что CDB — это просто еще один инструмент в наборе, и его полезность зависит от конкретного сценария.

Крупнейшая в мире ботнет-сеть Aisuru, специализирующаяся на DDoS-атаках, недавно установила новый рекорд, обрушив на цели в интернете 29,6 терабит мусорного трафика в секунду. Основная часть её мощности исходит от сотен тысяч взломанных IoT-устройств в США, многие из которых — это камеры видеонаблюдения и маршрутизаторы, эксплуатируемые благодаря уязвимостям в их прошивках.

Аналитики говорят, что концентрация ботнета в США затрудняет смягчение последствий его атак, поскольку провайдеры не могут просто отключить зараженные системы своих клиентов. Вместо этого они вынуждены направлять часть трафика атаки через большие сети, что приводит к задержкам для всех пользователей.

В результате, Aisuru теперь считается главной причиной, почему в последние недели наблюдаются перебои в работе интернета по всему миру, особенно в услугах доставки контента и защищенных DNS-сервисах, таких как Cloudflare и Google.

Хотя Aisuru наиболее известен атаками на игровые сервисы, он также всё чаще применяется для нанесения ущерба критически важной интернет-инфраструктуре, включая основу глобальной системы доменных имён (DNS).

В записях, полученных KrebsOnSecurity, показано, что на пике недавней DDoS-кампании Aisuru против провайдера услуг защиты от DDoS-атак Akamai, последний временно прекратил работу некоторых своих сервисов, включая защиту DNS, после того, как атака превысила два терабита в секунду.

Аналитики, отслеживающие Aisuru, говорят, что его операторы продолжают совершенствовать методы, которые позволяют ботнету генерировать всё большее количество мусорного трафика при меньших затратах.

В частности, исследователи отметили, что Aisuru теперь способен генерировать в два раза больше атакующего трафика, чем всего несколько месяцев назад, и что этот рост связан с улучшением в методах, которые Aisuru использует для заражения устройств.

Многие из последних атак Aisuru были сосредоточены на серверах, обслуживающих видеоигры, такие как Counter-Strike 2 и Minecraft. Но эксперты по безопасности, отслеживающие Aisuru, говорят, что они видят, как ботнет начинает атаковать более разнообразный набор целей, включая корпоративные и государственные сети.

Один из таких аналитиков — это Абрахам «Абби» Рамирес, руководитель отдела угроз в компании по защите от DDoS-атак NullRoute, расположенной в Лос-Анджелесе. Рамирес говорит, что, хотя Aisuru, безусловно, является самым большим ботнетом, который он когда-либо видел, он также является одним из самых сложных.

«Это не просто ботнет, который вы можете наблюдать и анализировать с помощью простого набора инструментов для мониторинга трафика», — сказал Рамирес. «Он использует множество методов, чтобы скрыть источник своего трафика, и они постоянно меняются, чтобы скрыться от обнаружения. Это, безусловно, самый сложный ботнет, который мы отслеживаем».

«Они также, кажется, находят способы генерировать больше атакующего трафика, одновременно уменьшая требования к своим ботам для поддержания атаки», — добавил он. «Это, безусловно, самый эффективный ботнет, который мы когда-либо видели».

По словам Рамиреса, Aisuru в настоящее время поражает системы, которые в противном случае могли бы помочь смягчить последствия атаки, что приводит к положительной обратной связи, которая усиливает разрушительные эффекты Aisuru.

«По сути, они находят способы заставить свои жертвы усиливать сигнал атаки», — сказал он. «Это действительно то, что отличает Aisuru от любого другого ботнета, который мы видели до сих пор».

term BBBBB BBBBB BBBBB BBBbbb BBBBBB BBBBBB BBBBBBB BBBBBBBB BBBBB BBB BBB BBBBBB BBBBBB BBBBB BBBBB BBBBBB BBBBBB BBBBBBBB BBBBBB BBBBBB BBB BBBBBB BBBBB BBBBB BBBBB BBBBBB BBBBBB BBBBB BBBBBB BBBBB BBB BBBBB BBBBBB BBBBBBBBBB BBBBB BBB BBBBB BBBBBBBB BBBBB BBB BB BBBBBB BBBBB BBB BBBBBB BBBBBBBB BBBBB BBB BBBBBB BBBBB BBBBB BBBBB BBBBBB BBBBB BBBBBB BBBBB BBB BBBBBB BBBBB BBBBB BBBBB BBBBB BBBBBB BBB BBBGGGG BBB BBBBB BBBbbbbbb BBBBBB BBBBBB BBBBBB BBBBBB BBBBBB BBBBB BBBBB BBBBBB BBBBB BBB BBBBB BBBBBBB BBBBBB BBBBBB BBBBB BBBBB BBBBBB BBBBB BBBBB BBB BBB BBBBBB BBBBB BB BBBBB BBBBB BBBBBB BBBBB BBBBB BBBBB BBBBB BBBBB BBB BB BBBBB BBBBB BBBBB BB BBBBBB BB BBBBBB BBB BBBBBB BBBBBBBB BBBBB BBBBB BBB BBBBBBBB BBBBBBBB BBBBB BBBBBB BBB BBBBBBB BBBBB BB BBBBBB BBB BBB BBB BBBBB BB BBB BBBBB BBB BBBBBB BBBBBBBB BBB BB BBBBB BBB BBBBB BBB BBBBBBB BBBBB BBB BB BBB BB BBB BBB BB BBBBB BBB BBBBBB BBB BBBBB BBBBBBB BBB BBBBB BBB BBB BB BBB BBB BBB BBB BBBBBB BB BBBBBBBB BBBBB BBB BBB BBBBB BBB BBBBB BBB BBBBBB BBBBB BBB BBB BBB BBB BBBBBB BB BBB BB BBB BBB BBB BBBBB BBB BBBBBBB BBBBBBB BBB BBB BBB BBBBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBBBBBB BB BBBBB BBB BBBBBB BBBBBBB BBB BBBBBB BBBBBB BBB BBB BBBBBB BBB BBBBBBB BBB BBB BBB BBB BB BBBBBB BBB BBBBBB BBBBBBB BBBBB BB BBBBB BB BBBBB BBBBBBB BBB BBB BBB BBBBBBB BBB BBB BBB BBBBBB BBB BB BB BBBBB BBB BBBBBBBB BBBBBBB BBB BBBBBBBB BBB BBBBBBB BBB BBB BBB BBB BBB BBBBB BBBBB BB BBBBB BBB BBBBB BBB BBB BBBBBB BBBBBBB BBB BBBBBBB BBB BBB BBB BBBBBBB BBB BBB BBBBB BBB BBBBB BB BBBBBBB BBB BBB BBB BBB BBBBBBB BBB BB BBBBB BBBBBBB BBB BBB BBB BBBBBBB BBB BBB BBBBB BBB BBBBB BBB BBB BBB BB BBB BBB BBBBB BB BB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBBBBBBB BBBBBBB BBBBB BBB BBBBBBB BBB BB BBBBBBB BBBBBBBbbbb BBBBB BB BBBBB BBB BBBBBB BBBBBBBB BBBBB BBBBBBBB BBB BBB BBB BBBBBBBB BB BBBBBBBBBB BBBBBBB BBBBBBB BBBBBBB BBB BBBBBB BB BBBBBBBB BBBBBBBB BBBBBBBbbbbb BBB BBB BB BBBBBBB BBBBBB BBBBB BBBBBB BBBBBBBbbbbb BBBBBBBbbbbbb BBBBBBBBBBBB BBBBBBBB BBBBBBBBBB BBBBBbbbbbbbbbbbb BBBBBBBB BBBBBBB BBBBBBBB BBBBBBB BBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBbbbbbbbbbbbbb BBBBBbbbbbbbbbbbbbb BBBBB BBBbbbbbb BBBBBBBbbbbbb BBBbbbbbbbbbbbbbbb BBBbbbbbbbbbbb BBBbbbbbbbbbbbbbbb BBBbbbbbbbbb BBBBBbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbb BBBBBB BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBBBBbbbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBBBB BBBbbbbbbb BBBbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBB BBBBBbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBBBBbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BB BB BBB BBB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBB BBB BBB BBBBB BB BBB BBB BBB BBBBBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BB BBB BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbBBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBBBBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BBB bb BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBBBB BBB BBB BBB BBB BBB BBB BBBBBbbb BBBbbb BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBBBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBBBB BB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB GGgggg BBBBBBBBBBBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BB BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbdddddbbbbb BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb GG BBBBBBB BBBBBbbbbb GG BBBBBbbbbbbbbbbbbbbbbbbb BBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBBBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BB BB BBB BBBBB BBB BBBBBbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb BBB BBBBBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBBBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBB BBBBBBbbbGGGGGGGGggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggdddddddddddddddddddddddddddddddddddggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDdddddddddDDDDDDDDDDDDDDDDDDdddddddDDDDdddddDDDDdddddddddDDDDdddddddDDDDDDdddddDDDDDDDDDDDDDDDDDDDDDDdddDDDDdddddDDDDdddddDDDDDDDDdddDDDDDDDDdddddDDDDDDdddddDDDDDDDDDDdddddDDDDDDdddDDDDdddddDDDDdddddddDDDDDDdddDDDDdddddDDDDDDdddddddddDDDDdddddDDDDDDDDdddddDDDDdddddDDDDDDdddDDDDdddddDDDDdddddddbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbgggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDddddDDDDDDDDDDDDDDdddddDDDDDDDDDDDDDDDDdddddddddddDDDDDDDDdddDDgggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg

Во время 12-часового перелёта из Канады в Гонконг на борту Air Canada автор обнаружил, что бесплатный Wi-Fi ограничен только мессенджерами. Вместо того, чтобы заплатить 30 CAD за полный доступ, он решил «взломать» систему. С помощью эксперта по безопасности сетей они попробовали три подхода: самоподписанный SSL-сертификат, маскировка DNS-запросов и туннелирование DNS. Первые два метода провалились из-за жёсткой фильтрации IP и отсутствия UDP. Третий подход оказался рабочим: туннель через DNS позволил обойти ограничения и получить полный доступ к GitHub и другим сайтам.

• Пользователи обсуждают, что если ICMP-запросы не проходят, это не обязательно означает блокировку IP-адреса — возможно, просто блокируется ICMP.
• Участники обсуждают, что если DNS-запросы проходят, то можно использовать DNS-туннель, чтобы обойти ограничения.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.

Самостоятельный хостинг почтового сервера — это практичный и почти бесплатный способ автоматизировать рассылки и верификацию, если вы готовы мириться с рисками доставки. Основная сложность — не настройка, а обеспечение того, чтобы письма не попадали в спам у крупных провайдеров вроде Gmail. Для этого достаточно Postfix как SMTP-сервера и OpenDKIM для цифровой подписи писем, плюс правильная конфигурация TLS на порту 25.

Ключевые шаги — выпуск SSL-сертификата для MX-записи, настройка DKIM, SPF и DMARC в DNS. Это разовые действия, но они критичны для репутации домена. Автор отказался от многопользовательского веб-интерфейса, упростив задачу до работы через SSH и консольные утилиты вроде Mutt, что свело затраты времени к минимуму.

• Самостоятельный хостинг почты возможен и практикуется десятилетиями, но требует технических знаний и постоянного обслуживания для обеспечения доставки и безопасности.
• Основные проблемы: репутация IP-адресов, блокировки крупными провайдерами (Gmail, Outlook), uptime и сложность борьбы со спамом.
• Ключевые технологии для успешной доставки: правильная настройка SPF, DKIM, DMARC и PTR-записей.
• Рекомендуются готовые решения (Mail-in-a-Box, Stalwart) для упрощения начальной настройки.
• Рассматривается как хобби для технических специалистов, а не как решение для рядового пользователя.

Протокол AT использует at:// URI, где авторитетом выступает создатель данных, а не хост. Например, в at://ruuuuu.de/app.bsky.feed.post/3lzy2ji4nms2z пользователь ruuuuu.de — это автор, а физический сервер хостинга не указан напрямую. Это позволяет данным сохранять ссылочную целостность даже при смене хоста.

Разрешение at:// URI происходит в три шага: преобразование хэндла в неизменяемый идентификатор (DID), поиск текущего сервера хостинга через DID-документ и запрос JSON с этого сервера. Например, хэндл ruuuuu.de может разрешиться в did:web:iam.ruuuuu.de, а затем в PDS-сервер, где хранится запись. Это обеспечивает децентрализованность и устойчивость ссылок.

• Пользователи выражают недовольство алгоритмической лентой Bluesky, которая перегружена американской политикой и не соответствует их интересам, несмотря на использование кнопки «меньше такого».
• Поднимаются технические вопросы о децентрализации ATProto: критика зависимости от централизованных сервисов (plc.directory), проблемы с безопасностью (DNS poisoning) и контроль над данными и идентификаторами (DID).
• Обсуждаются альтернативные подходы к использованию платформы: переход на неалгоритмическую ленту «Following», использование пользовательских фидов и ручной подбор контента через интересные аккаунты.
• Высказываются сомнения в практической полезности и уникальности протокола, сравнивая его с существующими решениями (DNS, RSS) и отмечая избыточную сложность.
• Некоторые пользователи видят коренную проблему не в технологиях, а в социальном аспекте — сложности создания и поддержания качественного контента в децентрализованной экосистеме.

Systemd всё чаще становится причиной скрытых ограничений для демонов, вызывая ситуации, когда служба работает при ручном запуске от root, но отказывает в штатном режиме. Это происходит из-за директив вроде ProtectHome= (блокирующей доступ к домашним каталогам) или PrivateTmp= (создающей изолированный /tmp), которые могут приводить к "таинственным" ошибкам вроде "permission denied" или исчезновению файлов в /tmp.

Особенно коварны ограничения на IP-адреса, которые могут неожиданно блокировать DNS-запросы, если демон не использует systemd-resolved. Пока проблему можно решить, удалив ограничения из .service-файла, но в будущем некоторые демоны могут начать требовать эти настройки, что усложнит диагностику.

• Обсуждаются возможности systemd для изоляции и ограничения сервисов через настройки юнитов, что может служить альтернативой контейнеризации.
• Поднимается вопрос сложности отладки и логирования при использовании усиленных настроек безопасности systemd.
• Участники делятся практическим опытом настройки hardening'а для конкретных сервисов (например, Jellyfin) и решения возникающих проблем.
• Высказываются полярные мнения о systemd: от критики за усложнение и нарушение UNIX-принципов до поддержки за гибкость и мощные функции.
• Затрагивается тема культурного феномена хейта вокруг systemd и его сравнение с другими инструментами (Docker, Podman).

Многие ошибочно полагают, что TXT-записи в DNS ограничены 255 байтами, но на самом деле лимит определяется размером DNS-пакета. Для UDP это около 1232 байт, а при использовании TCP можно передавать до 64 КБ данных. Это демонстрируется через сервис Google Public DNS с JSON API, где большие изображения передаются в бинарном виде без кодирования Base64 для экономии места.

Такой подход позволяет обходить традиционные ограничения и может иметь последствия для безопасности, так как злоумышленники могут использовать DNS для туннелирования крупных payload прямо в браузер. Низкое значение TTL (10 секунд) предотвращает засорение кэшей, но теоретически его увеличение превратило бы DNS-резолверы в бесплатный распределённый CDN.

• Использование DNS в качестве транспортного механизма для передачи данных (изображений, HTML, видео) и обхода ограничений или платы за трафик.
• DNS-туннелирование (например, с помощью проекта Iodine) позволяет создавать каналы связи через порт 53, часто открытый в фаервллах.
• Техника может использоваться для эксфильтрации данных, обхода captive-порталов и межсетевых экранов, но современные системы защиты научились это детектировать и блокировать.
• Существуют технические ограничения (размер записи ~64KB), которые обходятся с помощью множественных TXT-записей или использования TCP.
• Обсуждение носит исследовательский и экспериментальный характер, мотивированный любопытством и желанием обойти ограничения.

Конфиденциальность DNS в Firefox стала быстрее и теперь доступна на Android. Веб-сёрфинг начинается с DNS-запроса для поиска IP-адреса сайта. Раньше эти запросы отправлялись в открытом виде, но DNS-over-HTTPS (DoH) шифрует их, защищая от прослушивания провайдерами или в публичных сетях Wi-Fi.

В 2020 году Firefox первым включил DoH по умолчанию в США, а в 2023 году — в Канаде. Теперь мы улучшили производительность и добавили поддержку мобильных устройств.

DoH для Android

С выходом Firefox 143 для Android пользователи могут включить DoH, выбрав режим «Повышенная защита». После тестирования скорости мы планируем включить его по умолчанию в некоторых регионах.

Улучшение производительности

Совместно с партнёрами мы ускорили DoH-запросы на 61%. Теперь они почти не уступают по скорости обычным DNS-запросам, обеспечивая приватность без потерь в производительности. Эти улучшения также помогли другим пользователям CIRA и Akamai.

Контроль и прозрачность

Firefox предоставляет пользователям выбор: можно отключить DoH, выбрать свой резолвер или настроить уровень защиты, сохраняя прозрачность и приватность.

• Firefox для Android ценится за полную поддержку расширений, таких как uBlock Origin, что является ключевым фактором для многих пользователей.
• Обсуждаются альтернативные браузеры с поддержкой uBlock Origin для iOS и Android, включая Orion, Brave, Samsung Browser и Lemur.
• Внедрение DNS-over-HTTPS (DoH) в Firefox воспринято неоднозначно: одни видят в нём улучшение приватности, другие — централизацию трафика и проблемы для тех, кто управляет своими DNS-серверами.
• Поднимаются вопросы о выборе провайдеров DoH (Quad9, Mullvad, NextDNS) и их легитимности, а также о латентности и практических аспектах настройки.
• Отмечается, что DoH не полностью скрывает трафик без Encrypted Client Hello (ECH), но Firefox включает ECH при использовании DoH.
• Обсуждаются технические сложности принудительного отключения DoH на уровне сети и его сравнение с системными реализациями в Android.
• Высказывается критика в адрес Firefox для Android за медленную работу, высокое потребление батареи и неудобный интерфейс, несмотря на поддержку расширений.

curl 8.16.0 внедрил pthread_cancel, чтобы прерывать зависший getaddrinfo, но уже в следующем релизе функцию убирают: отмена потока приводит к утечке памяти.

glibc сначала резолвит имя, выделяя память, затем читает /etc/gai.conf, где встречается fopen — точка отмены. Если поток прервать на этом шаге, выделенные адреса не освобождаются, и утечка повторяется при каждом новом вызове.

Поскольку других «опасных» точек может быть ещё больше, а библиотека не гарантирует чистоту ресурсов, pthread_cancel признан неприемлемым. Возвращаемся к старому выбору: либо ждать pthread_join, либо пускать потоки «в свободное плавание» и накапливать их.

Кто не хочет тормозов — подключает c-ares, но тот не покрывает всех возможностей glibc.

• Проблема: стандартный POSIX-вызов getaddrinfo блокирующий, не имеет таймаута и плохо сочетается с pthread_cancel, что приводит к утечкам/дедлокам.
• Исторически DNS-запросы запускали в отдельном потоке/процессе, но 30 лет спустя ситуация не улучшилась.
• Альтернативы есть: getaddrinfo_a, c-ares, systemd-resolved, io_uring, но они либо glibc-специфичны, либо нетривиальны в кросс-платформенной разработке.
• Разработчики предлагают:
  – отказаться от pthread_cancel и использовать пул воркер-потоков с флагом «самоубийства»;
  – вынести DNS из libc в системный сервис;
  – дождаться нового POSIX-стандарта асинхронного резолвера.

• Реклама в интернете — зло: тратит время и уродует сайты.
• Поддержи автора напрямую: 1 $ приносит больше пользы, чем тысячи показов баннеров.
• На сайте выводится тонкое сообщение: «Adblock не обнаружен. Поставь uBlock Origin — сэкономишь трафик и нервы».
• Блок скрывается кнопкой «Закрыть» и больше не появляется (cookie notice-shown).
• Техника:
  – в HTML встроен <div> с «адоподобными» классами и скрипт nativeads.js;
  – если div вырезан или скрипт заблокирован, сообщение не видно;
  – стили показывают блок только при ≥75 em ширины и ≥30 em высоты;
  – без JS сообщение не вставляется, без CSS просто не стилизуется.
• DNS-блокировку не отследить, поэтому банер маленький и некликабелен вне основного контента.

• Без блокировщиков рекламы веб выглядит как «лабиринт трекеров и баннеров»: большинство пользователей живут в этом каждый день.
• uBlock Origin называют едва ли не «лучшим антивирусом»; ФБР и CERN рекомендуют блокировщики как защиту от скама и малвари.
• Даже с адблоком сайты всё чаще «раскрывают» посетителей через identity-graph (IP, хэши устройств) и потом спамят e-mail.
• Часть участников считает блокировку «паразитизмом»: контент бесплатен только потому, что кто-то смотрит рекламу.
• Другие возражают: договор «контент ↔ реклама» давно нарушен — автозвук, трекинг, монополии Google/Meta, потребление трафика и батареи.
• Альтернатива — платить авторам напрямую, но пожертвования от 0,01 % читателей не покрывают хостинг, уж не говоря о зарплате.

Коротко: домашний DNS на BIND

• Цель: локальный DNS для сети homelab.jhw, работающий без интернета.
• Сервер: Raspberry Pi 4 (inf01.homelab.jhw, 192.168.1.10) под Fedora 42.
• Сети: 192.168.1.0/24, 172.16.0.0/16, 10.88.0.0/16 (Podman).
• Форвардер: Fritz!Box 7490 (192.168.1.254) — чтобы резолвить DHCP-имена.

Установка

dnf install bind bind-utils
firewall-cmd --add-service=dns --permanent

Конфиги

• /etc/named.conf — слушаем 127.0.0.1, 192.168.1.10, 172.16.1.10, 10.88.0.1; форвард на Fritz!Box; отключён DNSSEC.
• Зоны:
  – forward.homelab.jhw → A-записи хостов.
  – reverse.homelab.jhw → 1.168.192.in-addr.arpa.
  – reverse2.homelab.jhw → 16.172.in-addr.arpa.

Пример forward.homelab.jhw

$TTL 86400
@   IN SOA  inf01.homelab.jhw. root.homelab.jhw. (
        2025082901 ; serial
        3600       ; refresh
        1800       ; retry
        604800     ; expire
        86400 )    ; minimum
        IN NS   inf01.homelab.jhw.
inf01   IN A    192.168.1.10
ca      IN A    192.168.1.10
hl01    IN A    192.168.1.11
hl02    IN A    192.168.1.12
hl03    IN A    192.168.1.13

Проверка

named-checkconf
named-checkzone homelab.jhw /var/named/forward.homelab.jhw
systemctl enable --now named
dig @192.168.1.10 ca.homelab.jhw

Готово: локальные имена резолвятся даже без интернета.

• Кто-то дома поднимает Technitium DNS в контейнере: DoH/DoT, блокировка рекламы, API — проще, чем Pi-hole.
• Другие предпочитают unbound (кэш/рекурсия) + nsd (авторитетный), dnsmasq (DHCP+DNS без перезапуска) или CoreDNS «всё-в-одном».
• BIND считают мощным, но громоздким: «много конфигов, как Gentoo»; PowerDNS и NSD выглядят проще.
• Внутренние зоны: .lan, .internal, .home.arpa или «публичный домен, но только в LAN» — спор о риске коллизий и TLS-сертификатах.
• Apple-устройства могут игнорировать «левые» TLD, если не добавить сервер в профиль или не внедрить собственный CA.
• Кто-то кодит DNS на коленке (dns4j), кто-то мечтает купить публичный TLD за 50 млн долларов, лишь бы не зависеть от регистратора.

• Непал блокирует Facebook, X, YouTube и др. за отказ регистрироваться в стране.
• Платформы должны были до среды указать локального представителя и модератора.
• Из 10 крупнейших лишь TikTok и Viber оформились; остальным грозит отключение.
• Правозащитники: «внезапное закрытие удар по свободе слова».

• Непал заблокировал 26 популярных соцсетей и мессенджеров (Meta, YouTube, Signal, Reddit и др.), требуя от компаний зарегистрироваться и назначить локального представителя.
• Блокировка пока DNS-уровня: смена DNS или VPN открывает доступ, но уже появляются IP-блоки (Telegram).
• Мнения разделились: кто-то считает мерой защиты от «цифрового госпереворота» и вреда психике, кто-то — авторитарным цензурированием и нарушением свободы слова.
• Часть пользователей рада избавлению от «алгоритмичного трэша» и призывает другие страны последовать примеру; другие опасаются погони за VPN и дальнейшей цензуры.

• Cloudflare становится «налоговым» шлюзом интернета: решает, кто «хороший» бот, вводит WebBotAuth и потенциально платные привилегии.
• Данные Radar показывают: ChatGPT — лидер, Character.AI уверенно второй, Claude и другие идут дальше; вызывает сомнение, что Googlebot не числится «AI-ботом».
• Участники сомневаются в точности метрик: DNS-кеш, скрытые прокси, игнорирование robots.txt и несоответствие crawl/refer.
• Многие опасаются двойного «налога» (CDN + доступ к контенту) и монополизации, но признают необходимость верификации ботов.

LandChad.net учит запускать сайты, почту и чаты за пару часов и копейки.
Базовый курс (≈1 ч):

1. Домен
2. Сервер
3. DNS
4. Nginx
5. HTTPS (Certbot)

Свои сервисы: Alps (почта), Calibre (библиотека), Cgit, Coturn, Dnsmasq, DokuWiki, ejabberd, Fosspay, Git, Gitea, i2p, IRC, Jitsi, Matrix (Synapse/Dendrite), Monero, Mumble, Nextcloud, PeerTube, Pleroma, Prosody, Radicale, Rainloop, RSS-Bridge, SearXNG, Tor, Transmission, WireGuard, Yarr.

Почтовый курс (≈1 ч + 1 день на открытие портов):

1. SMTP
2. rDNS
3. DNS-записи
4. Входящая почта
5. Защита

Администрирование: Certbot, Cron, Gemini и др.

• Участники спорят, что название «landlord»/«landchad» некорректно: арендуя VPS и домен, ты всё равно арендатор, а не собственник.
• Многие хвалят сайт за простые гайды по самостоятельному хостингу, но отмечают, что материал рассчитан на «интернет-сантехников», а не новичков.
• Поднят вопрос о бесполезности собственного почтового сервера из-за попадания писем в спам; однако некоторые пишут, что у них всё работает без проблем.
• Ключевой пробел — почти нет информации о надёжных бэкапах и восстановлении.
• Упоминаются риски юридического преследования за несоблюдение регуляций и то, что мобильный интернет сместил фокус с «домашних» сайтов.

SSL-сертификаты превратились в головную боль
Я утверждаю SSL для компании: процесс отлажен, но частота задач выросла с «раз в квартал» до «еженедельно». Сертификаты критичны, но их администрирование уже даёт обратный эффект.

Методы валидации
Издатель отказался от файловой проверки для wildcard и усложнил её для обычных сертификатов. Остались TXT-записи и email, но почту для test.lab.corp.example.com никто не создаёт, так что фактически выбор один — DNS.

Новые защиты
Следующий месяц принесёт MPIC: CA будет проверять домен с нескольких географических точек, чтобы победить BGP-hijacking.

• Сколько компаний ограничивают доступ по регионам?
• Сколько сертификатов реально выдали злоумышленники? В Википедии один случай за 2021 год — $1,9 млн ущерба. Стоит ли оно внедрения?

Сроки и коммуникации
О «прорывных» изменениях узнаю за пару недель. Приходится смущённо просить коллег «проверьте, не сломается ли прод» — это подтачивает доверие.

Срок жизни сертификатов
Самая мерзкая новинка — постепенное сокращение сроков валидации…

• Современные инструменты (Let’s Encrypt, ACME, Caddy) уже автоматизировали SSL для большинства сайтов, оставляя минимум ручной работы.
• Сокращение срока жизни сертификатов до 47 дней сознательно заставляет команды автоматизировать процесс и снижает риски отзыва.
• В крупных и регулируемых компаниях всё ещё много ручных процессов: аудиты, внутренние CA, специфические требования к сертификатам.
• Для старых устройств, вендорских продуктов и внутренней инфраструктуры автоматизация остаётся нетривиальной или невозможной.
• Некоторые считают, что всё это — способ «контроля» и вытеснения пользователей в облачные платформы.

xv6-riscv-net
Форк MIT xv6 для RISC-V с добавлением стека TCP/IP.
Поддерживаются драйвер RTL8139, DHCP, DNS, ping, telnet-сервер, HTTP-клиент.

Сборка и запуск

make qemu

Внутри QEMU:

$ dhcp
$ ping 8.8.8.8
$ telnetd &
$ http google.com

Сетевые утилиты

• dhcp – получить адрес
• ping – проверка связи
• telnetd – сервер на порту 23
• http – простой HTTP-клиент

Код

• kernel/net* – стек TCP/IP
• kernel/rtl8139.c – драйвер сетевой карты
• user/{dhcp.c,ping.c,telnetd.c,http.c} – сетевые утилиты

• @Tony_Delco и @dancek восхищаются сложностью и качеством реализации TCP/IP-стека для xv6 с virtio-net и сокетами, подчеркивая, что это «золото» для любителей low-level.
• @AbbeFaria сообщает, что проходит лабораторные xv6 и сейчас занят mmap и fork.
• @lesser-shadow интересуется, используются ли RISC-V-расширения и возможностью запуска на bare metal.
• Все участники благодарят автора за открытость и делятся вдохновением.

Крупнейший немецкий провайдер Telefonica изменил работу DNS через два часа после того, как с его сети проверили мой сайт cuiiliste.de.
Сайт публикует список доменов, которые тайно блокирует частная организация CUII (четверка крупнейших ISP: Telekom, Vodafone, 1&1, Telefonica/o2).

Раньше блокировки легко выявлялись: DNS отдавал CNAME на notice.cuii.info. После публикаций CUII убрала эту метку, и Telefonica остался последним, кто её оставил.

В пятницу в 11:06 с IP Telefonica кто-то проверил домен blau-sicherheit.info (принадлежит самой Telefonica). Мой сервис показал «заблокирован». Через два часа Telefonica убрал CNAME и начал отвечать «домен не существует», что сломало мой скрипт.

Пришлось переписать логику: теперь я дополнительно фильтрую блокировки по известным спискам.

Совпадение? Скорее попытка скрыть будущие ошибки CUII и уменьшить прозрачность.

• Немецкая CUII раньше блокировала сайты без суда по внутреннему решению, но после критики теперь использует только судебные приказы.
• Участники считают, что цензура под предлогом авторского права всё равно остаётся, а старые блокировки не снимаются.
• Рекомендуют отказаться от DNS провайдера и переходить на зашифрованные (DoH/DoT) или распределённые решения, включая VPN, I2P, Yggdrasil.
• Некоторые подчёркивают, что технологические обходы важны, но конечное решение — политическое; другие считают, что «физический» уровень всегда остаётся последним рубежом.

Критическая уязвимость кэш-подмены в Dnsmasq

Тип: логическая ошибка защиты от кэш-подмены
ПО: все версии Dnsmasq
Оценка: критическая
Условия: атакующий вне сети, перебирает TxID и порт (~2,5 ч)

Суть
Dnsmasq пересылает запросы со спецсимволами (~, !, *, _) вышестоящим резолверам. Некоторые из них молча отбрасывают такие запросы, не отвечая NXDomain/ServFail. Dnsmasq не замечает тишины и ждёт, открывая большое окно для подбора 16-битного TxID и порта (birthday-paradox).

Результат

• 20/20 успешных экспериментов
• Среднее время атаки ≈ 9 469 с
• Позволяет отравить любой кэшированный домен без фрагментации IP или побочных каналов
• Усиливает известные атаки SADDNS и Tudoor

PoC
Для домена viticm.com запросы с «тихими» символами приводили к молчанию upstream, что использовалось для надёжного отравления кэша.

Рекомендации

• Детектировать молчание upstream
• Ввести rate-limit и защиту от spoof, как в PowerDNS

• dnsmasq пересылает «невалидные» запросы (с символами вне ASCII) к апстрим-резолверу, который молча их отбрасывает; злоумышленник, находясь на пути, может подобрать 32-битный (порт+ID) ответ и отравить кэш.
• Проблема не новая (известна с 1993 г.), но в dnsmasq уже второе за последнее время серьёзное упущение.
• Большинство потребительских роутеров с dnsmasq никогда не обновятся; предлагается «право на ремонт» и публикация прошивок/ключей.
• OpenWrt, если стоит за NAT/файрволом, теоретически недоступен извне, но всё равно можно заменить dnsmasq на Unbound или другой DNS-сервер.
• Эффективная защита — DNSSEC; временно помогает апстрим-резолвер, который быстро отвечает NXDOMAIN (8.8.8.8, 1.1.1.1, 9.9.9.9).

• Пользователи жалуются, что NextDNS «заброшен»: устаревшие блок-листы, отсутствие поддержки, частые сбои.
• Некоторые защищают сервис: «у меня всё работает», «лучшие 20 $ в год».
• Главная тема — новая «DNS-фича» для обхода верификации возраста по паспорту: одни хвалят за защиту приватности, другие считают это нарушением закона и риском для сервиса.
• Просят раскрыть «DNS-трюк» и боятся, что функция быстро сломается без поддержки.

ScrollGuard — блокирует Reels и Shorts в Instagram, Facebook, Reddit, YouTube.
Устанавливает лимит прокрутки в любых приложениях. Без рекламы и отвлечений.

iOS: из-за ограничений системы полноценная блокировка невозможна, но разрабатывается альтернативное решение.
Оставьте e-mail, чтобы получить уведомление о релизе.

© BreakTheScroll | Политика конфиденциальности

• Пользователи жалуются, что Instagram и YouTube навязывают рекомендованный контент и Shorts, а встроенные переключатели либо отсутствуют, либо временные (30 дней).
• На Android применяют ReVanced, DFinstagram, uBlock, либо новое приложение с Accessibility Service, чтобы вырезать ленту/Shorts, но требуются права root или доверие к стороннему коду.
• На iOS такие же модификации невозможны; люди переходят в браузер, ставят Safari-расширения (Shorts-Stopper, Unhook) или вовсе удаляют приложения.
• Часть участников ищет решения на уровне сети (DNS, роутер) или полностью отказывается от централизованных платформ в пользу открытых альтернатив (Pixelfed, FreshRSS).
• Общий вывод: борьба с алгоритмами сводится к «хакам» и самодисциплине, поскольку сами платформы не дают удобных выключателей.

Миллион скриншотов
Увеличьте главные страницы интернета.
Поиск сайта: ⌘K или случайный выбор.

• Проект OneMillionScreenshots показывает скриншоты топ-1 000 000 сайтов в виде интерактивной «карты».
• Часть пользователей жалуется на SSL-ошибки, блокировку DNS и поломку кнопки «Назад».
• Большинство отмечает однообразие современного веб-дизайна и коммерциализацию интернета.
• Некоторые просят фильтров по нишевым или старым сайтам, а также API-фич и мозаичных раскладок.
• Создатели подтвердили, что визуализация устарела, но данные обновляются ежемесячно и доступны через ScreenshotOf.com.

• Проект ch.at — это минималистичный «чат» через DNS/HTTP, позволяющий общаться с LLM без JS и даже на самолёте без оплаченного Wi-Fi.
• Автор удивлён популярностью: сервис почти не стоит денег, пока не нужен rate-limit, а домен ch.at куплен за ≈ $50k как удачный «домен-хак».
• Пользователи уже сделали обвязки под i3-dmenu, Raycast, shell-алиасы и даже используют dig TXT +short.
• В комментариях обсуждают отсутствие IRC/XMPP/SIP, перспективу более дешёвых локальных моделей, политику логов и защиту от DDoS.