Нормальные люди давно уже cryptDNS поставили, так что пострадают только хомячки

А толку-то, от сервера dnscrypt запрос все равно пойдет к злоумышленнику. DNSSEC мог бы помочь, но он есть далеко не везде.

BGP hijacking - это тебе не перехват DNS запросов аля DPI у провайдера.

Шерето. То маршруты разворачивают, то анонсируют. У вебмакак секьюрности больше в их быдлокоде.

Hijack of Amazon’s domain service used to reroute web traffic for two hours

https://news.ycombinator.com/item?id=16914698

Где-то читал, что вместо банера роскомнадзора на запрещенном контенте будут вешать рекламу. Может, это не атака, а оно самое?

Так некотрые вешают уже.

Жить становится все веселее

So far the only known website to have traffic redirected was to MyEtherWallet.com, a cryptocurrency website. This traffic was redirected to a server hosted in Russia, which served the website using a fake certificate — they also stole the cryptocoins of customers. The attacks only gained a relatively small amount of currency from MyEtherWallet.com — however their wallets in total already contained over £20m of currency. Whoever the attackers were are not poor.

А ведь это ппц товарищи. Даже довольно продвинутый юзер от таких аттак не сумеет защититься.

Для этого достаточно провайдерского уровня.

Так и представил: открываешь гугл, а там надпись: «мужчина, вы не видите, что у нас обед?». Приходите, мол, в другое время, когда у цензора рабочие часы.

А толку-то, от сервера dnscrypt запрос все равно пойдет к злоумышленнику. DNSSEC мог бы помочь, но он есть далеко не везде.

Можно просветить, а каким образом тут DNSSEC бы помог, если фактически угнали IP-к? Мне только приходит в голову поглядывать на лог traceroute на предмет странных аплинков у сервиса.

ТАк оно и будет, с динозавриками...

открываешь гугл, а там надпись: «мужчина, вы не видите, что у нас обед?»

Российский провайдер два часа анонсировал сеть Amazon
анонсировал

ШТО?

Была версия, что специально нарываются, чтобы потом очебурашить

ШТО?

сеть Amazon

DNSSEC - это подпись зоны, причем публичная часть ключа находится на NS'ах уровнем выше. Например, зону com обслуживают серверы [a-m].gtld-servers.net. Поэтому, если у тебя домен в этой зоне, и ты хочешь рабочий DNSSEC, то ты генеришь ключ, публичную часть заливаешь на эти серверы (у регистраторов есть API), и приватной подписываешь свои ресурсные записи.

Поэтому, чтобы подделать DNS, тебе нужно угонять адреса всех NS'ов в цепочке, включая корневые. Иначе резолвер, который поддерживает DNSSEC и проходит всю цепочку, будет тебе отдавать SERVFAIL

Если бы угоняли IP, на котором находится конечная цель, т.е. сам сайт, то DNSSEC бы не помог. Но в этом случае угоняли IP NS'ов Амазона.

ШТО?

А што не так-то?

Макака на аватарке не знает что такое BGP announce?

ТО!
мост специфики с коротким ас-пасом проанонсили... что не ясно?

Российский провайдер

на опеннете говорят мериканский: https://www.opennet.ru/opennews/art.shtml?num=48494

кому верить?

Спасибо, носач загуглил и теперь доволен.

Но вообще просто у некоторох ISP не стоит фильтров на своих клиентов... Никогда такого не было и вот опять...

Хайли лайкли русские хакеры. А русские делают фейк ньюс.

Впрочем да, походу анонсил какой-то из клиентов Equinix'а, а сам Equinix и eNet не просто фильтровали.

Вообще не думал, что можно заанонсить так, чтобы трафик шел не к тебе, а в какое-то другое место, которое ты указал.

Я специально не выяснял, но разве в этом случае сервер не дропнет пришедший зашифрованный пакет?

В настройках dnscrypt-proxy v2 есть опция require_dnssec

Давай сначала в терминологии разберемся.

Есть у тебя локальный резолвер, который для тебя - DNS-сервер, и по совместительству он - dnscrypt-клиент, который отсылает зашифрованные запросы на dnscrypt-сервер, который расположен далеко.

Зашифрованный запрос дойдет до dnscrypt-сервера, он его расшифрует и сделает попытку резолва. Получив ответ, он сформирует данные для клиента, зашифрует их и отправит. Клиент их получит и отдаст тебе, уже в виде обычного DNS.

dnscrypt-сервер в процессе резолва обратится к серверам, на которых лежит интересующая тебя зона. И т.к. адреса этих серверов угнаны, то запрос пойдет к серверам злоумышленника, которые отдадут неверный адрес (т.к. угон подсети в общем случае влияет на маршрутизацию во всем мире). И, получив этот адрес, он его отправит dnscrypt-клиенту.

Поэтому dnscrypt, который всего лишь обеспечивает зашифрованный «туннель» между резолвером и клиентом, тут не панацея.

dnssec в данном случае будет работать и без dnscrypt, наличие последнего не обязательно.

Русские хакиры взломали американского провайдера же.

Прочитал как анананировали :)

Отмечу, что угон сети позволит, например, получить сертификат от Lets Encrypt, так что имейте в виду.

лолшта?

лолшта?

лолта?

Ну серьезно, если тебе что-то непонятно, то напиши конкретнее, что именно.