Комментарии 163
Ну как бы ладно частники, но таки вангую забавы с гос.сектором, ибо тут все как обычно же — «снег идет всегда внезапно, а его и не ждал никто».
И да, дописал чють позже, ну так, что бы поржать)
habr.com — All Ok!
gosuslugi.ru — Serious problem detected!
fssprus.ru — Minor problems detected!
nalog.ru — Fatal error detected!
cikrf.ru — Serious problem detected!
и т.д.
Впрочем даж не надо было и проверять, ибо изначально и так все очевидно чють более чем полностью.
telegram.org: All Ok!
torproject.org: All Ok!
pornhub.com: All Ok!
Нашел ваш комментарий, проверил наугад 6 сайтов с Fatal и Serios problems.
Все работает. Как так?
Понимаю, что звучит бредово, но, учитывая современные реалии, совсем исключать такой вариант, боюсь, не стоит.
Боюсь, как бы так и не случилось. Слишком велик соблазн оправдаться внешней угрозой, тем более, что она как бы действительно «извне»:
« — Мы ничего не трогали, но все упало. По имеющимся сообщениям из остальных органов исполнительной власти — таможни, налоговой, прокуратуры — у них все то же. Это не мы!
- Это акт агрессии, Владимир Владимирович...
- Расчехляйте Сармат!»
Мысль можно развернуть ещё дальше: к этому событию и готовились… когда специально ничего портить не надо. Достаточно просто не следить за некоторыми неочевидными тонкостями.
deploying novichok in 5 4 3 2 1
Да и если серьезно, то все равно ерунда, мне не один гос сайт не нужен, как и сбербанк, главное сервисы гугл и все, больше ничего не нужно.
Как так-то.
О чём ещё мог написать Мировой Лидер Сетевых Технологий?!
Разумеется, о МегаФэйле.
Клишас и Луговой внесли законопроект о суверенном Рунете. Эти меры гарантируют работу Рунета при невозможности подключения к зарубежным серверам
Ставлю на «Хакерскую атаку США» или «Тёмные силы»
А как из консоли проверить?
Всё сломается а гугл нашёл из достоверных источников только блогозапись в APNIC?!.. 0_0!!111
Либо мужикам ещё не сказали, что через 2 недели всё сломается, либо ничего не сломается, поскольку интернеты на ушах из-за меньших неприятностей стояли…
Забавно то, что у меня например тестер показывает ок для доменов, резолв которых доверен российскому хостеру, но для aws route 53 — minor issues. Правда на доступность доменов это не должно повлиять —
То есть тест спрашивает у Route53 то, чего не существует, и ожидает что AWS Route53 как-то правильно отреагирует
На самом деле ожидание правильной обработки неверного запроса входит в RFC, но пока что не реализовано у AWS.
Обсуждение: forums.aws.amazon.com/message.jspa?messageID=851817
а кому принадлежит dnsflagday.net? в whois всё обфусцированно: https://www.whois.com/whois/dnsflagday.net
ucoz.ru: Serious problem detected!
Неееееееееееееееееет
kremlin.ru — All OK
government.ru — All OK
mid.ru — All OK
cbr.ru — Fatal error detected
nalog.ru — Fatal error detected
fsb.ru — Serious problem detected
gosuslugi.ru — Serious problem detected
mil.ru — Serious problem detected
pochta.ru — Serious problem detected
rkn.gov.ru — Serious problem detected
(Некоторым надоел закат в 3-4 (в 15-16) зимой и в 8 (в 20) летом.)
А полдень должен быть в полдень. За полжизни, лично я как-то смирился, что полдень не в 12:00, а в 13:00 (в Москве пораньше, в Ленинграде попозже).
Но зачем его сдвигать на 14:00?! Причём ещё и беспорядочно двигать туда-сюда по хаотично меняющимся правилам?! Вот к этому за 30 лет этого безобразия, лично я, привыкнуть так и не смог.
Господь сотворил время непрерывным и равномерным и не стоит его корёжить.
Господь сотворил время непрерывным и равномерным
… но потом пришёл Планк и всё опошлил.
Умрут сотни старых хороших сайтов на которые я иногда захожу.
Я пытаюсь найти решение проблемы.
Первая попытка скачать whois базу на всякий случай. Однако она большая. И более-менее приличные (начиная с более 50 миллионов) стоят приличных денег например 500-1000$.
Например по запросу в гугле whois databasedownload:
www.whoisxmlapi.com/whois-database-download.php
iqwhois.com/whois-database-download
…
или например более старые: Часть ищеться по вебархиву
pir.org/resources/file-zone-access
www.neustar.biz/resources/faqs/domain-name-registry
www.nic.coop/agreements.aspx
info.info/about/registrant-faqs
За те дни которые остались я только в лучшем случае успею найти малую часть нужных адресов.
Однако даже если я найду приличную дешевую или бесплатную бд остается вопрос к очень старым сайтам. И на будущее.
Будет ли, например хозяин старого сайта заморачиваться с этим. И не закроет ли он вообще его?
Открывать все свои десятки тысяч закладок и пытаться сохранить все их в вебархив? Я точно не успею. Есть ли подобное решение быстро сохранить в вебархив?
Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?
Можно ли будет получить ip адрес из домена после этого дня? Я не сисадмин поэтому прошу пояснить мне это.
Многие сайты которым много лет и полузаброшены, но них много информации. Например по программированию.
И я сомневаюсь что их владельцы которые заходят раз в год читали этот пост.
Столько проблемных сайтов что мне кажется что отвалиться половина интернета кроме самых посещаемых сайтов.
Это уже который раз за пару этих лет я сбиваюсь с ног(Meltdown… Блокировка telegram..) Я уже боюсь что будет далее.
Все старое убивается с невероятной скоростью.
Обновлено в процессе написания:
Кстати минимальное решение уже найдено: Не качать базу данных а вводить в поиск на том же www.whoisxmlapi.com/whois-database-download.php
Однако все же хотелось спросить о 100% возможности найти адрес после DNS Flag Day программными средствами.
Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.
Новая идея:
Было бы неплохо автоматизировать превращение введенных названий сайтов из списка whois в ip адрес: например создать браузерный плагин для этого и распространить его среди пользователей. Это было бы отличным решением для старых сайтов которые скорее всего никогда не проведут обновление.
Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.
… и тот не сработает для ситуации нескольких сайтов на одном IP. Придётся руками файл hosts править.
Попытки кажется уже были.
Например поиск гугла:programm edit hosts filefirefox plugin
Manage Hosts Files From Within Firefox — gHacks Tech News
или
Hosts file — Google Chrome
…
Вероятность создания плагина для браузера(В автоматическом режиме) для обхода этой проблемы как по мне достаточно высока.
Этот сервис возвращает имя(ена) nserver. Не ip адрес сайта.
Ситуация когда whois возвращает еще и ip существует, но это по разряду исключений
nserver: ns1.sitename.zone. xx.xx.xx.xx
nserver: ns2.sitename.zone. yy.yy.yy.yy
Например вот список пар dns-ip: dns-database-download.whoisxmlapi.com
как раз несколько 1.2 миллиона платно и 10 тысяч бесплатно.
Сейчас занят поиском таких вот баз данных dns.
Конечно 1.2 миллиона мало. Но это только 1 из вариантов.
Можете привести пример хотя бы одного сайта, который умрет? По-моему DNS — это функция DNS-провайдеров и хостеров, которые никуда не денутся.
Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?
Поставьте себе свой кэширующий DNS сервер с BIND 9.12.3 и настройте его для разрешения DNS запросов для всех своих компьютеров. Делов-то ;)
Что то мне подсказывает, что проблема не проблема. И интернет 1 февраля не заметит разницы по сравнению с предыдущим днем.
Иногда заходишь на старый сайт который каким-то чудом дожил до современности и сразу становиться светлее на душе. В конце концов старое будет утеряно. :(
Часть людей точно заметит. Если использовать только самые популярные сайты — в таком случае я соглашусь с вами.
Возможно сервис перегружен.
dns=ok edns=ok,nsid edns1=noerror,badversion,soa,nsid edns@512=ok ednsopt=ok,nsid edns1opt=noerror,badversion,soa,nsid do=ok ednsflags=ok,nsid docookie=ok edns512tcp=ok optlist=ok,nsid (ns8.reg.ru)
а ns1.reg.ru все строки похожие на то, что выше
Проверяю другим сервисом и вижу, что
SOA Serial Number Format is Invalid
ns1.reg.ru reported Serial 1529996645: Suggested serial format year was 1529 which is before 1970.
Так, что если NS от регистратора, то часть их серверов может быть неправильно настроена.
aliexpress.com — Fatal error detected
Зато основы computer science в самый раз.
Из своей средней школы я помню олимпиадные задачки на комбинаторику, пересечения прямых, перевод систем счисления, рекурсию итд.
Вот они здорово помогли в свое время набрать базу, и далее двигаться самостоятельно.
Ботай математику и какой-нибудь питон\паскаль\на чем там сейчас учат. Сначала процедурное программирование, потом ООП, потыкайся немного в СУБД.
И самое главное — учи английский язык, потом вырастешь и поймешь как это было важно. Читай stackoverflow, учись задавать вопросы хотя бы с переводчиком. Если всё будешь делать правильно — в 21-22 года уже будет отличная работа и куча перспектив.
Я в 12 анимировал члены в поверпаите.
Ну и уж тем более все заинтересованные в использовании старых NS могут поставить себе резолвер, и резолвить как угодно и с поддержкой чего угодно.
А для более менее «спокойной жизни» требуется проверить, что на ваших DNS серверах установлен BIND версий 9.0.0 и 8.3.0 или выше.
На dnsflagday.net пишет всё ок.
Не знаю как насчёт Cloudflare, а для Google это никогда не было проблемой. Захотят -завтра совсем отключат. Большинство сервисов (не связанных непосредственно с рекламной деятельностью) не приносят прибыли компании. Они говорят что это just for fun, попытка сделать мир чуточку лучше.
Вот если просто бы написали:
Вниманию системных администраторов. В новых версиях Bind, Knot Resolver, PowerDNS и Unbound, выпущенных после 1.02.2019 ответы NS серверов, которые не соответствуют стандарту EDNS будут отбрасываться как не достоверные.
Что реально может сломаться первого февраля, если выльют релиз ?
Ваш роутер обновит прошивку. Возможно, но я не знаю моделей, которые
прошивки обновляют сами. Как лечить? Указать другой DNS вместо 192.168.x.1
У вашего провайдера? И прям одновременно у всех публичных днс?
Спокойнее. Просто примите инфу к сведению.
Если где-то что-то отвалиться, то лечиться downgradом версий.
Акция или сдуется или народ просто перестанет обновлять bind и т.п.
Однако, вроде как, на конференциях выступали только производители ПО, а откуда следует, что публичные DNS сервера поддержат 1 февраля не очень понятно.
Для большой компании (а так же для хорошего админа!) пол часа простоя — это недопустимо, а значит надо решать такие проблемы ДО их наступления.
Здесь в комментариях проскочили приготовления к армагеддону интернета.
Срочно выкачивайте whois. Хотя информация представленная в нем
носит СПРАВОЧНЫЙ характер и при ресолве домена в ип не используется.
Вообще whois протокол имхо самый не стандартизированный. Многие зоны
даже не поддерживают запрос по 43 порту. Зачем выкачивать, то что не меняется?
Я бы описал, то что предстоит, как зомби апокалипсис НАОБОРОТ.
В течении некоторого периода времени кривонастроенные сайты
выпадут из индекса поисковиков.
Если мы знаем про такого зомби или нашли ссылку на него,
то придется освоить несколько заклинаний некроманта.
whois, nslookup, etc/hosts
А живые проекты со временем исправятся.
Человек решил, что хочет иметь доступ и к сайтам, чьи владельцы не озаботятся их состоянием.
Как я понял, если эта ситуация наступит — получить IP из имени для такого сайта будет гемморойно.
Человек решил решить вопрос кардинально — слить всю базу, что бы не составлять список всех сайтов, которые ему могут понадобиться.
Неужто aliexpress перестанет быть доступным, скажем, через Google DNS и придётся переключаться, скажем, на Яндекс DNS или наоборот?
Яндекс DNS, конечно же давно поддерживает EDNS, но, как и все остальные, отлично работает с традиционными DNS серверами. Мне так кажется, что если бы они собирались переходить на эти новые версии, то они бы публично б написали бы: семейные сервера 77.88.8.7/3 перестают обрабатывать устаревшие домены в таком-то году, безопасные сервера 77.88.8.88/2 в таком-то году, базовые сервера 77.88.8.8/1 в этаком году. При возникновении проблем с теми или иными сайтами, пользователи могут изменить используемые сервера Яндекс DNS.
Но ведь этого нет же? Похоже, Яндекс DNS собирается работать со старыми DNS серверами ещё достаточно долго. Да и насчёт Google тоже как-то не верится, что они будут стрелять себе в ногу.
P.S.
«On or around Feb 1st, 2019» это ж может быть и к 2038 ;)
Cloudflare управляет одной из самых больших и быстрых сетей в мире. APNIC — некоммерческая организация, управляющая распределением IP-адресов в регионах Азиатско-Тихоокеанского региона и Океании.
Ой, как внезапно. Про ДНС от регистратора домена говорит что slow, а про свежеподнятый bind — fatal error. Намечается веселье...
bmw.ru — All ok!
Может написать немцам имейл?
1. 1-ofd.ru: All Ok!
2. egais.ru: Serious problem detected! (Пора брать отпуск)
gosuslugi.ru: All Ok!
А то 1 февраля прием заявлений в школы, вот это было бы грустно если бы сайт не работал. Но похоже читают Хабр.
cbr.ru Serious problem detected!
council.gov.ru Serious problem detected!
customs.ru Fatal error detected!
duma.gov.ru Serious problem detected!
fish.gov.ru Serious problem detected!
fsb.ru Serious problem detected!
mcx.ru Fatal error detected!
minenergo.gov.ru Serious problem detected!
minfin.ru Serious problem detected!
minobrnauki.gov.ru Fatal error detected!
mnr.gov.ru Fatal error detected!
orfi.ru Serious problem detected!
pfrf.ru Fatal error detected!
tpprf.ru Serious problem detected!
Еще некоторые *.gov.ru почему-то не получается проверить через этот сайт:
audit.gov.ru no result
doc.rzd.ru no result
fl.customs.ru no result
genproc.gov.ru no result
и т.п.
;)
reg.ru: Minor problems detected!
sweb.ru: All Ok!
По-моему, сам тест ednscomp.isc.org слегка невменяемый: ему мерещятся проблемы на пустом месте. Например, мой DNS-сервер подключён через двух провайдеров с фиксированными адресами IPv4, плюс ещё IPv6 через туннели: на одном 6to4 и 6in4, на другом два 6in4 через разных брокеров. Казалось бы, уж если где и должен возникать затык, то на туннелях IPv6, но тест стабильно помечает красным только IPv4 одного из провайдеров (кроме результата edns512tcp). Это если просто указать имя доменной зоны, чтобы протестировались все серверы. Если же дополнительно указать проблемный IPv4-адрес или доменное имя для него, чтобы проверить конкретно этот сетевой интерфейс сервера, то волшебным образом все тесты проходят успешно — ни одного тайм-аута или иной ошибки. Не говоря уже о том, что самостоятельная проверка с арендуемого за рубежом сервера тоже проходит без проблем.
Вот ещё свидетельство очевидца:
Три NS поддерживают четыре домена. Для трёх доменов ответ Good, для четвёртого — Slow. В логах — timeout для одного ответа, причём только по IPv4; по IPv6 этот же NS отвечает, что всё ok.
Так что к результатам подобных тестирований надо относиться осторожно. Например, мой NTP-сервер регулярно вылетает из российского пула потому, что станция мониторинга в Лос Анджелесе не может сюда пробиться. И наоборот, именно потому что автоматически выбранная точка тестирования из России не имела со мной связи по IPv6, какой-то сайт (возможно, test-ipv6.com) категорически заявлял мне, что с IPv6 у меня большие проблемы — пока я не догадался посмотреть результаты тестирования со всех точек присутствия: и оказалось, что из 50 раскиданных по миру точек у меня нет связи лишь с 4. Вот такая беспощадная логика.
1 февраля 2019 года ваш сайт может перестать работать