DNS: поддельные записи, перехват трафика и другие ужасы

Вы вводите в адресную строку браузера знакомый адрес сайта и через долю секунды попадаете на нужную страницу — простое действие, которое мы совершаем сотню раз в день. Но за этим кликом скрывается невидимый посредник — DNS, система, которая превращает удобные для человека названия в цифровые координаты серверов. А теперь представьте: заходите на «свой» банковский сайт, а это лишь идеальная копия, созданная мошенниками. Или ваш запрос к корпоративной почте теряется из-за подмены DNS-записей. Риск нарваться на подмену высок. Фишинговые сайты-двойники множатся, как грибы после дождя, а пользователи путаются в море похожих названий. Но паниковать не стоит. Такие атаки работают только там, где DNS оставлен без присмотра. В этой статье разберем, как злоумышленники подделывают DNS-записи, как меняется характер DDoS-атак и какие технологии помогут вам остаться невредимыми. Подробности под катом.

https://habr.com/ru/companies/selectel/articles/898964/

Two nights ago I noticed that my monitoring complains about scraping failing. After some while I found out that my master #DNS server hadn't loaded my zone file for a week, and hence the #DNSSEC records were out of date. Deleting the journal file fixed the problem, but apparently my ISP caches records for a very long time and I also had to change my server network to use faster upstream DNS servers than the default ones.

It's always DNS.

NIST SP-800-81: Secure Domain Name System (DNS) Deployment Guide initial public draft open for public comments.

https://csrc.nist.gov/pubs/sp/800/81/r3/ipd

#DNSSEC
Apple is moving from the old RSA with SHA-1 to ECDSA for its TLD https://dnsviz.net/d/apple/Z_jGvA/dnssec/

Why I make 'naive' queries for my CDS consistency project.
TLDR: because it's cheaper

#dns #dnssec
https://kalfeher.com/analysis/cds-current-state/#cds-consistency

Apple goes iLliptic©

#DNSSEC

https://mastodns.net/@diffroot/114315852053959909

PowerDNS Recursor 5.0.10, 5.1.4 and 5.2.2 Released
https://blog.powerdns.com/2024/04/09/powerdns-recursor-5-0-10-5-1-4-5-2-2-released #dns #dnssec

#Dnsmasq 2.91 has been released (#DNS / #AAAA / #CNAME / #PTR / #DNSSEC / #DHCP / #DHCPv4 / #DHCPv6 / #BOOTP / #TFTP / #PXE) https://thekelleys.org.uk/dnsmasq/doc.html

PowerDNS Recursor Security Advisory 2025-01 (aka PowerDNS Recursor 5.2.1 Released)
https://blog.powerdns.com/2025/04/07/powerdns-recursor-5-2-1-released #dns #dnssec

223.5.5.5 (AliDNS) seems to be one of the few big public #DNS resolvers without #DNSSEC validation. Anyone to talk to Xi Jiping about this issue?

Not me blocking *.telemetry.mozilla.org

Also, check out your pihole log with

sudo awk '/query\[A\]/ || /query\[AAAA\]/ {print $6}' /var/log/pihole/pihole.log | sort | uniq -c | sort -nr

Surprises aplenty. Or not.

#pihole #dnssec #selfhosting

Update: added AAAA records (ipv6) to above command to have a complete view

Hat hier wer Connections zur IT-Abteilung von aok.de? Die haben gestern das SSL-Zertifikat ihres mx1.aok.de getauscht, aber den TLSA-Record für DANE übersehen...

https://dane.sys4.de/smtp/service.bw.aok.de

20:00 Uhr: geht wieder! Danke :)

At a glance, #DNSSEC validation in Poland looks better than seven years ago. Now AAAA record with an invalid signature is resolved correctly only on:
- 22% of probes using IPv4 #DNS servers,
- 20% of probes when using IPv6 DNS servers for resolution.

1/2

tl;dr :
- env. 4 215 000 domaines enregistrés dans .fr au 31 décembre 2024
- 19,8% des domaines signés avec #DNSSEC (≈ 835 000). Chiffre pudiquement qualifié de « modeste ».
- 31646 #IDN enregistrés, soit ≈ 0,75% du total. Ridiculement bas

« Bilan du .fr en 2024 : plus de 800 000 nouveaux noms enregistrés »
https://www.afnic.fr/observatoire-ressources/actualites/bilan-du-fr-en-2024-plus-de-800-000-nouveaux-noms-enregistres/

"Nope: Strengthening Domain Authentication with Succinct Proofs"

https://nope-tools.org/nope.pdf

Basically:
domain owner #DNSSEC signs their name, then encodes a proof of that DNSSEC chain into a new domain name, stashes that in a SAN in the cert and wants the client to verify the proof against... the root ZSK? Which it fetches via DoH from Google DNS, but... doesn't verify?

Not sure I get it.

Post-Quantum #DNSSEC Testbed with BIND and PowerDNS

https://pq-dnssec.dedyn.io/

Formation #DNSSEC toute la semaine prochaine. Si vous avez des exemples de trucs DNSSEC rigolos (par exemple des erreurs de configuration, ou au contraire des déploiements réussis), c'est le moment de les citer.