V týmu vyvíjejícím škálovatelný kešující DNS resolver, Knot Resolver, v současné době pracujeme na komplexním řešení pro ochranu DNS serverů a ostatních uživatelů internetu před útoky typu denial-of-service (DoS). Tento vývoj je součástí projektu DNS4EU, kofinancovaného Evropskou unií1, jehož jsme hrdou součástí.
K dosažení tohoto cíle do Knot Resolveru přidáváme dva nové mechanismy:
Novinky v Knot Resolver 6.x
V tomto příspěvku bych rád představil nadcházející hlavní verzi projektu Knot Resolver, která je v tuto chvíli ve fázi testování a ladění a proto velmi oceníme, když si ji vyzkoušíte a poskytnete nám k ní jakoukoliv zpětnou vazbu.
Výsledky průzkumu: Nastavení DNS resolverů
DNS software je v současnosti velmi složitý. Výrobcům a vývojovým týmům chybí zpětná vazba o tom, jaké funkce se skutečně používají. Náš průzkum si kladl za cíl takové informace od uživatelů získat. Výsledky jsou popsány v tomto článku. K účasti na průzkumu byli pozváni uživatelé a správci DNS resolverů od jakéhokoliv dodavatele. Příspěvek navazuje na článek “Průzkum: Jak nastavujete DNS resolvery?”.
Deset nejčtenějších článků roku 2020 aneb Co vás nejvíce zaujalo?
Už několik let si v našem internetovém zápisníku můžete přečíst pravidelnou dávku novinek a zajímavostí ze světa (českého) Internetu a internetových technologií. Nebylo tomu jinak ani v roce 2020, ve kterém vzešlo z klávesnic našich autorů celkem 52 článků. Mezi nejvyhledávanější pak patřily ty, které se věnovaly vypnutí starých ODVR a obecně oblasti DNS. V těsném závěsu pak zůstaly příspěvky zabývající se projektem Turris, infrastrukturou nebo bezpečností a s ní související osvětou. Také stojí za zmínku nový seriál Krátké vlny, který přinášel pravidelný přehled novinek z digitální džungle.
Šifrované DNS v Knot Resolveru: DoT a DoH
V tomto příspěvku popíšeme rozdíly mezi dvěma rozšířenými protokoly pro šifrování DNS: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Porovnáme technické aspekty těchto protokolů a jejich vliv na soukromí uživatelů. Představíme také novou vestavěnou podporu DoH v Knot Resolveru a vysvětlíme některá naše rozhodnutí při její implementaci.
NXNSAttack: aktualizujte své resolvery a zastavte nový druh útoku náhodnými dotazy
Tento článek popisuje NXNSAttack, nově objevenou zranitelnost protokolu DNS, která postihuje většinu rekurzivních DNS resolverů. Umožňuje provádět útok dotazováním na náhodné subdomény (random subdomain attack) pomocí delegačního mechanismu DNS, což vede k vysokému zesílení počtu paketů od útočníka směrem k oběti.