По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
На самом деле поиск DNS это не то, что требует частого внимания. Но иногда приходится заботиться об этом. Например, если у вашего провайдера слабые сервера или же в вашей сети часто происходят DNS обращения, то нужно настроить локальный кэширующий DNS сервер.
Как кэширующий DNS-сервер может пригодиться?
Кэширующий DNS-сервер занимается обработкой DNS запросов, которые выполняет ваша система, затем сохраняет результаты в памяти или кэширует их. В следующий раз, когда система посылает DNS запрос для того же адреса, то локальный сервер почти мгновенно выдает результат.
Эта идея может показаться бесполезной. Подумаешь, какие-то там секунды. Но если DNS сервера провайдера тратят много времени на разрешение имени, то в результате падает скорость Интернет серфинга. Например, домашняя страница новостного канала MSNBC для корректной работы обращается более чем к 100 уникальным доменам. Даже если на запрос тратится одна десятая секунды, в итоге получается 10 секунд ожидания, что по нынешним меркам слишком много.
Локальный кэширующий DNS увеличивает скорость не только дома или в офисе, он также помогает работе серверов. Например, у вас есть почтовый сервер с анти-спам фильтром, который выполняет очень много DNS запросов. Локальный кэш намного увеличить скорость его работы.
И наконец, system-resolved поддерживает новейшие стандарты вроде DNSSEC и DNSoverTLS или DoT. Эти технологии увеличивают безопасность при работе в Интренет.
Какой локальный кэширующий сервер выбрать?
В этом руководстве будет использован сервер systemd-resolved. Эта утилита является частью набора управления системой systemd. Если в вашей системе используется systemd, а большинство дистрибутивов Linux используют это, то в системе уже установлен systemd-resolved, но не запущен. Большинство систем не используют эту утилиту.
systemd-resolved запускает небольшой локальный кэширующий DNS-сервер, который мы настроим на запуск при загрузке системы. Затем мы изменим конфигурацию всей системы так, чтобы DNS запросы шли на локальный сервер.
Как проверить используется ли systemd-resolved?
В некоторых дистрибутивах, например Ubuntu 19.04, по умолчанию используется systemd-resolved.
Если у вас уже запущен systemd-resolved, тогда не нужно что-то настраивать в системе. Но нужно проверить на корректность утилит управления сетевыми настройками, такие как NetworkManager, так как они могут игнорировать системные настройки сети.
Перед тем как перейти к следующему разделу проверьте запущен ли в вашей системе systemd-resolved:
$ resolvectl status
Если в ответ получите сообщение ниже, значит в системе не настроен systemd-resolved:
$ resolvectl status
Failed to get global data: Unit dbus-org.freedesktop.resolve1.service not found.
И наоборот, если на выходе видите что-то подобное, то systemd-resolved уже работает:
Global
LLMNR setting: yes
MulticastDNS setting: yes
DNSOverTLS setting: opportunistic
DNSSEC setting: allow-downgrade
DNSSEC supported: no
Current DNS Server: 1.1.1.1
DNS Servers: 1.1.1.1
1.0.0.1
Включение и настройка systemd-resolved
Отдельно устанавливать systemd-resolved не нужно, так как этот сервис является частью systemd. Всё что нужно сделать это запустить его и добавить в автозагрузку. Для включения данной службы введите команду ниже:
$ sudo systemctl start systemd-resolved.service
Далее нужно ввести следующую команду, чтобы добавить службу в автозапуск.
$ sudo systemctl enable systemd-resolved.service
И наконец нужно прописать DNS сервера, куда будет обращаться локальный сервер для разрешения имен. Есть много разных сервисов, но приведённые ниже самые быстрые, бесплатные и оба поддерживают DNSSEC и DoT:
Google Public DNS
8.8.8.8
8.8.4.4
Cloudflare Public DNS
1.1.1.1
1.0.0.1
Для этого откройте конфигурационный файл systemd-resolved любым текстовым редактором:
$ sudo nano /etc/systemd/resolved.conf
Отредактируйте строку, которая начинается на:
#DNS=
И пропишите одну из вышеуказанных пар. Мы используем Cloudflare Public DNS:
DNS=1.1.1.1 1.0.0.1
Сохраните изменения и перезапустите службу systemd-resolved:
$ sudo systemctl restart systemd-resolved.service
Итак, systemd-resolved уже запущен и готов для выполнения быстрых и безопасных DNS запросов, как только мы настроим систему соответствующим образом.
Настройка системы для использования systemd-resolved
Есть несколько путей настройки системы на использование локального DNS сервера. Мы рассмотрим два наиболее используемых метода. Первый – рекомендуемый метод, второй конфигурация в режиме совместимости. Разница в том, как будет обрабатываться файл /etc/resolv.conf.
В файле /etc/resolv.conf содержатся IP адреса серверов разрешения имен, которые используются программами. Программы при необходимости разрешения доменного имени обращаются к этому файлу в поисках адресов серверов разрешения имен.
Итак, первый метод конфигурации заключается в создании символьной ссылки на /run/systemd/resolve/stub-resolv.conf. В этом случае файл /etc/resolv.conf управляется службой systemd-resolved.
Это может вызвать проблемы в том случае, если другие программы пытаются управлять файлом /etc/resolv.conf. Режим совместимости оставляет /etc/resolv.conf не тронутым, позволяя программам управлять им. В этом режиме, в настройках программ, управляющих файлом /etc/resolv.conf в качестве системного сервера разрешения имен должен быть указан IP 127.0.0.53.
Конфигурация в рекомендуемом режиме
При этом режиме конфигурация проводится вручную. Сначала нужно удалить или переименоваться оригинальный файл /etc/resolv.conf. Лучше переименовать, чтобы при необходимости можно было использовать информацию в нем.
$ sudo mv /etc/resolv.conf /etc/resolv.conf.original
Затем создаем символьную ссылку:
$ sudo ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
И наконец перезапускаем службу systemd-resolved:
$ sudo systemctl restart systemd-resolved.service
Настройка в режиме совместимости
В режиме совместимости, нужно убедиться, что локальный сервер разрешения имен system-resolved запущен и используется системными службами. Откройте файл /etc/resolv.conf любым редактором:
$ sudo nano /etc/resolv.conf
Удалите все строки, которые содержать ключевое слово nameserver и добавьте одну единственную строку:
nameserver 127.0.0.53
Этот файл мажет быть изменён любой программой. Чтобы предотвратить это нужно настроить программы так, чтобы в качестве DNS они использовали адрес 127.0.0.53.
Отладка systemd-resolved
Посмотреть, как система выполняет DNS запросы после внесённых изменений сложно. Самый эффективный метод – это включить режим отладки для службы systemd-resolved, а затем просмотреть файл логов.
systemd-resolved можно перевести в режим отладки созданием специального служебного файла, в котором содержатся настройки отладки. Делается это следующей командой:
$ sudo systemctl edit systemd-resolved.service
Вставьте в файл следующие строки:
[Service]
Environment=SYSTEMD_LOG_LEVEL=debug
После этого служба systemd-resolved автоматический перезапуститься. Откройте второй терминал и просмотрите логи в journald:
$ sudo journalctl -f -u systemd-resolved
Строка, которая содержит слова “Using DNS server” показывает, какой DNS сервер используется для разрешения имён. В нашем случае это DNS сервера Cloudflare
Using DNS server 1.1.1.1 for transaction 19995.
Слова “Cache miss” в начале строки означает, что для данного домена нет закэшированной информации:
Cache miss for example.com IN SOA
И наконец слова “Positive cache” в начале строки означает, что systemd-resolved уже запрашивал информацию об этом домене и теперь ответы возвращает из кэша:
Positive cache hit for example.com IN A
Не забудьте отключить режим отладки, так как в это время создается большой файл логов. Сделать это можно командой:
$ sudo systemctl edit systemd-resolved.service
а затем удалить добавленные выше две строки.
Использование защищенных DNS запросов
systemd-resolved один из немногих DNS серверов, которые поддерживает DNSSEC и DNSoverTLS. Эта два механизма позволяют убедиться, что полученная DNS информация подлинная (DNSSEC) и он не был изменён по пути (DoT).
Эти функции легко включаются редактированием основного конфигурационного файла system-resolved:
$ sudo nano /etc/systemd/resolved.conf
Измените файл следующим образом:
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
Сохраните изменения и перезапустите службу systemd-resolved.
$ sudo systemctl restart systemd-resolved.service
Пока прописанные DNS сервера поддерживают эти две функции все DNS запросы будут защищены. DNS сервера Google и CloudFlare поддерживают эти механизмы защиты.
Заключение
Теперь ваша система будет выполнять DNS запросы быстро и эффективно даже если провайдер не работает достаточно быстро. Кроме этого, ваша цифровая жизнь лучше защищена новейшими механизмами защиты DNS запросов.
Для каждого сервера нелишним будет установка баннера, который мог бы проинформировать злоумышленника о том, какие риски он несёт в случае взлома иили просто каждому пользователю демонстрировать важную информацию о сервере после успешной авторизации. По сути, есть две сущности – баннер и MOTD. После ввода логина вы увидите баннер, и после успешной авторизации будет показан MOTD.
Настройка
Для начала отредактируем файл /etc/issue.net – например, с помощью редактора Vim:
vim /etc/issue.net
И вставим в него любой желаемый текст, например:
###############################################################
# ACCESS RESTRICTED #
# Please disconnect immediately! #
# All you actions will be recorded! #
###############################################################
Следующим шагом необходимо отредактировать конфиг-файл сревиса sshd и указать путь для баннера. Для этого сначала откроем конфиг следующей командой:
vim /etc/ssh/sshd_config
Далее необходимо найти строчку, которая относится к баннеру, и прописать путь как на скриншоте ниже:
То есть Banner /etc/issue.net. После этого сохраняем конфиг (в Vim нажимаем Esc и вводим :x!, затем Enter).
Последним шагом отредактируем файл MOTD, для этого используем команду vim /etc/motd и добавим в неё свой баннер, к примеру:
##########################################
# TEST SERVER# #
# PLEASE DISCONNECT IF YOU ARE NOT ADMIN #
##########################################
Также сохраняем файл и пробуем зайти на сервер, вы должны увидеть следующее:
Для формирования баннеров также можно использовать ASCII код, поэтому будьте креативны! :) К примеру, любую картинку можно перевести в код с помощью онлайн ASСII конвертера.
Говоря о сетевой информации, которая включает сетевые протоколы, IP-адреса, сетевые порты, нельзя не упомянуть о таком понятии как ASN (Autonomous System Number) - номер автономной системы.
С увеличением числа устройств, подключенных к сети и увеличиваются и уязвимости в сети. При таком раскладе, понять, что такое ASN и принципы его работы стало очень важным.
Чтобы управлять огромным повседневным потоком данных в Интернете, регулирующие органы, такие как как IANA (Internet Assigned Numbers Authority) и другие перешли от IPv4 к IPv6. Эта схема адресации располагает достаточным количеством адресов, которые можно назначить устройствам в сети.
При этом ASN является методом управления таком количеством адресов.
Что такое ASN?
Автономная система (AS) представляет собой группу из нескольких IP-сетей, имеющих отдельную политику маршрутизации. Чтобы эти автономные системы могли взаимодействовать друг с другом, им нужен уникальный номер или идентификатор.
Номер автономной системы (ASN) - это уникальный номер, доступный глобально, позволяющий соответствующим автономным системам обмениваться данными маршрутизации с другими подключенными системами. ASN может быть частным или общедоступным.
Хотя открытый ASN необходим, когда системы обмениваются данными в Интернете, частный ASN необходим для связи только с одним поставщиком через протокол пограничного шлюза (BGP).
IANA присваивает эти ASN автономным системам через региональные интернет-регистраторы (RIR), организации, отвечающей за управление номерами Интернета в конкретном регионе мира. Существует пять RIR:
Asia-Pacific Network Information Center (APNIC) - отвечает за Азию и Тихоокеанский регион
African Network Information Center (AFRINIC) - для Африки и региона Индийского океана
American Registry for Internet Numbers (ARIN) - отвечает за североамериканский регион
Latin American and Caribbean Network Information Center (LACNIC) - отвечает за Латинскую Америку и Карибский регион
Réseaux IP Européens Network Center (RIPE NCC) - для Европы, Центральной Азии и Ближнего Востока.
Далее рассмотрим некоторые из лучших сервисов поиска ASN, скрипты и API для работы с ASN. Основной целью этих инструментов является проверка ASN для получения полной информации AS.
1. UltraTools
С помощью UltraTools легко можно получить информацию о любом ASN. Для этого достаточно ввести номер автономной системы, или название компании или же IP адрес принадлежащий интересующей организации.
В ответе отображается вся необходимая информация об ASN конкретного IP-адреса, включая владельца IP-адреса, регистратора, регистрационные данные, максимальный диапазон для всех IP-адресов и т.д.
Например, если ввести Google, то получим следующую информацию:
2. APIC Whois Search
Asia Pacific Network Information Center (APNIC) - это некоммерческая, открытая и основанная на членстве организация, которая управляет и распространяет номерные ресурсы Интернета, включая ASN и IP-адреса в 56 странах Азиатско-Тихоокеанского региона.
В базе данных Whois APNIc хранятся все данные об организациях, имеющих ASN и IP-адреса в этом регионе.
Таким образом, с помощью APNIC Whois Search можно определить ASN и IP-адрес организации. Наряду с контактной информацией для каждой сети, эта база данных также показывает, когда и где были выданы ресурсы.
Для поиска нужной информации достаточно нажать "Search APNIC Whois". Браузер перенаправляет на другую страницу, где можно ввести IP-адрес и получить интересующую информацию.
3. ASNLookup
ASNLookup предоставляет удобный интерфейс для поиска IP адресов конкретной организации с помощью ASN.
Чтобы получить данные введите название организации.
ASNLookup также бесплатно предлагает конечную точку API, которую можно использовать для извлечения данных в формате JSON. Это полезно, если вы хотите интегрировать его с приложением или инструментом.
Например, мы ввели "Rostelecom" в качестве входных данных, поэтому в нем отображается следующий вывод. Можно даже загрузить результаты и сохранить их для справки.
4. Spyse ASN Lookup
Spyse ASN Lookup предлагает простую в использовании платформу без сложной терминологии. С помощью этого инструмента можно получить более широкое представление о различных уязвимостях организаций.
Spyse ASN Lookup выполняет регулярное сканирование Интернета для сбора полной информации об ASN. Он обеспечивает мгновенный доступ к данным и хранит их в своей базе данных, где эффективно организует их.
Инструмент использует набор алгоритмов ручной работы для проверки собранных данных после завершения сканирования, чтобы можно было получать точные и обновленные данные. Он также предоставляет API для получения данных AS, где также можно объединить проекты с базой данных.
Вы также можете изучить диапазоны IPv4, связанные ASN и области AS, чтобы получить больше информации для сравнительного анализа.
5. MX Toolbox
Чтобы получить информацию ASN, MX Toolbox принимает в качестве входных данных имя AS или номер AS. Также по мере ввода номера или название AS отображаются все номера AS, соответствующие введенному названию.
Таким образом, можно ввести IP-адрес, имя узла или имя домена для получения информации ASN. Если ввести ссылку, она направит вас к соответствующим данным или инструментам. Также можно просмотреть историю результатов в хронологическом порядке.
6. Hacker Target
Проверить ASN на наличие IP-адреса, чтобы получить информацию о конкретной AS можно с помощью Hacker Target. Просто введите ASN или IP-адрес организации в качестве входных данных и вернет соответствующие ASN, разделенные запятой.
В нем отображаются название организации, ее географическое положение и все связанные IP-адреса.
С помощью средства поиска Hacker Target можно быстро проверить владельца определенного IP-адреса. Тем не менее, есть уловка, которую вы не должны забывать для организаций с их AS, расположенных на разных континентах.
Таким образом, если вы получаете IP-адрес AS, показанный в США, это не всегда означает, что система физически расположена с США.
Этот инструмент создан для оперативного поиска. Если используется его бесплатная версия, можно делать 100 запросов в день.
7. IPtoASN
IPtoASN - это еще один онлайн-поиск с довольно простым способом найти ASN, принадлежащий организации. Просто введите IPv4 или IPv6 адрес и нажмите кнопку "Lookup".
Языки программирования, такие как Go и Rust, обеспечивают хорошую работу платформы IPtoASN. Операционная система OpenBSD с усовершенствованной технологией безопасности рассчитана для защиты IPtoASN в распределенной среде.
8. purplepee
Другим ресурсом, благодаря которому можно получить информацию об ASN является purplepee, сервис открытым исходным кодом. Кроме того, можно просматривать информацию о DNS-записях веб-сайта, заголовках HTTP, портах TCP и SSL-сертификатах.
Его поисковый фильтр должен включать определенные ключевые слова, чтобы система точно знала, что искать. Между названием фильтра и значением не должен быть пробелов.
Например, если нужно выполнить поиск ASN определенной организации, скажем, Digital Ocean, то запрос должен выглядеть следующим образом:
org:DIGITALOCEAN-ASN - DigitalOcean, LLC, США
Он возвращает всю информацию, включая IP-адрес, геолокацию, ASN CIDR, дату, код страны, реестр, описание, а также сертификат SSL и заголовок HTTP.
9. IPWHOIS
IPWHOIS позволяет извлекать, а затем анализировать данные whois для IPv6 и IPv4 адресов. С помощью этого скрипта можно найти ASN, название веб-сайта или IP-адреса.
Пакет написан на Python для синтаксического анализа и извлечения данных. Он может распарсить широкий диапазон полей в один стандартный словарь. Скрипт обеспечивает поддержку запросов RDAP, устаревших протоколов, интерфейса командной строки, опционально выделение цветом выходных данных.
10. IPinfo
Устали от решений на основе команд и по-прежнему нуждаются в данных ASN? К счастью, это возможно!
Используя удивительный API IPinfo можно легко получить всю информацию об ASN. Достаточно ввести ASN или IP-адрес и за считанные секунды получите всю необходимую информацию об ASN.
API возвращает выходные данные в формате JSON с информацией для префиксов IPv6 и IPv4. Эта информация состоит из идентификаторов, имен, блоков IP, стран и названий интернет-провайдеров.
Получая такие данные, вы можете получить информацию о подключении к Интернету, ограничениях данных и скорости посетителей. Можно также проверить, является ли конкретный IP-адрес бизнес-поставщиком, хостингом или потребителем.
Соберите всю эту информацию, чтобы спланировать, как вы можете расширить возможности пользователей. IPinfo является надежным, поскольку обеспечивает точные результаты и ежедневно обновляет имеющиеся данные.