Create accountLogin

Recent searches

No recent searches

Search options

Only available when logged in.
okla.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
Oklahoma... we're trying ya'll

Administered by:

Server stats:

33
active users

okla.social: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.6

#dns

20 posts20 participants0 posts today
Public
Max Resing

Last week was another stakeholder meeting on #DNS4EU. #Whalebone provided a short overview of the project including a timeline. Public launch is scheduled for June this year. The talk elaborates on various considerations of the new #DNS project. I was mostly interested in the deployment aspect, the #DDoS slides and the #privacy and #anonymization mechanisms.

My personal main concern with the project is the absence of resolver technology. The project plainly uses the #KnotDNS resolver. Not a bad choice, but University taught me that diversity in the backend software introduces even more resiliency. Yet, as Whalebone is a #Czech company, it is apparent why they chose #KnotDNS exclusively.

The slides are public.

Replied in thread
Public
Aral Balkan

@zbrando @morrick @ueeu You’re not wrong.

But, looking ahead, we can do so much better than the commercial domain name system.

Commercial domain names are a gold standard example of artificial scarcity. A domain name registrar cost next to nothing to operate. It’s tiny rows of text in a database. It could easily be free to own your own domain name – a huge part of what constitutes identity – on the Internet.

In fact, a non-commercial service has been operational for 24 years. It would be trivial to regulate that browsers in the EU implement support for it and work together with, say, @letsencrypt to ensure it can handle TLS.

That would be an amazing addition to the commons and a future-proof way forward that we could lead on with next to no investment.

#domainNames#DNS#openNic
Public
The Psychotic Network Ferret

Network I am unfucking in Maine had an issue. They tried to roll out a new VoIP subscriber in an area they had never done before, spent two days blaming magic (and #DNS) before calling me in.

I had never logged into any of the devices at this facility before in my life, didn't know how they were cabled, or even what was there.

Spent an hour and a half gathering credentials for things, mostly because they were slow in responding to all requests. Only spent about 20 minutes actually fixing the issue, and most of that was me remembering how to find a customer's port in an Adtran TA5000.

The problem as stated? "They can't resolve this host, foo.bar.com, it must be a DNS issue, but we can't find it."

Actual problem: the DHCP server config did not send the client a default route. Client could not resolve anything because it could not reach the DNS servers, nor anything else for that matter.

Added default route config to the DHCP server, found the customer in the TA5000, bounced their ONT port. Boom, headshot. Problem solved.

Tools I used to find this? ping, arp, route, and looking at the configuration. Before I got called in, they had gathered numerous packet captures, and provided all manner of useless supposition. Start simple, sometimes it is all you'll need. tcpdump is a great tool, but I never reach for it first. As for supposition, it's nothing but a huge waste of time, look at the facts. Can I ping this thing from the core? No. Can I ping this thing from the directly attached router? Yes. Okay, it doesn't have a route. Do I have a route for that subnet in the core? Yes. And so on....

Shit like this is why I despise the, "It's always DNS." bullshit.

Public
FDN

Renforcement des protections des serveurs #DNS récursifs ouverts de @FDN pour une durée indéterminée : fdn.fr/renforcement-serveurs-d

Quelles conséquences ?
- Aucune pour les membres #FDN et #FFDN
- Aucune pour les personnes externes utilisant DoT et DoH
- Une indisponibilité pour le reste du monde

Que faire pour continuer à utiliser nos DNS? Activer DoT et DoH sur vos routeurs, box ou navigateurs (voir article)

Sinon utiliser d’autres DNS ouverts (liste non exhaustive sebsauvage.net/wiki/doku.php?i)

www.fdn.frRenforcement des protections des serveurs DNS récursifs ouverts de FDN | FDN - Fournisseur d'Accès à Internet associatif depuis 1992
More from FDN
Public
Infoblox Threat Intel

Threat actors often have their favorite TLDs. This month we've found the following TLDs to have the highest risk. The top 5 retain their spot from last month, with the TLD .bond topping the chart with a risk score of 10. This is rare and only happens when the percentage of risky domains is at least 4.5 standard deviations above the mean. Congratulations, I guess?

An explanation and minimum-working-example of our reputation algorithm can be found here: blogs.infoblox.com/threat-inte

Riskiest TLDs for March 2025 as calculated by Infoblox Threat Intel using our publicly available reputation scoring algorithm
#dns#threatintel#cybercrime
Public *
John Kristoff

#ThrowbackThursday Here is a ~20 year old plot showing the frequency distribution of client source port usage at an edu #DNS resolver. Notice how the most common ports started at around 1024? That was Microsoft Windows. This picture should look a lot different if I were to redraw this today.

Gnu plot visualization showing the distribution of src port usage. Biggest peak at ~1024. Also a lower peak at around ~49152. y-axis goes to over 100,000. x-axis goes from 0 to 65535 (but drawn to 10,000).
Replied in thread
Public *
Erik van Straten

@maartjeS :

👍🏻 nee, dat is beslist niet stom! Er zijn maar weinig mensen die hier iets van snappen, en dat is precies het probleem.

🥸 Ook ervaren idioten zoals ik moeten te vaak diep graven om te zien of een website echt is of nep, en soms blijkt dat onmogelijk (zoals bij sommige webshops).

🏫 Als we naar het centrum gaan en daar een pand zien waarop "ING" of "HEMA" staat, dan zijn we *GEWEND* dat daar géén oplichtersbende in zit.

🚔 Ons risico om te worden belazerd is laag, omdat kwaadwillenden niet eenvoudig een pand kunnen huren, zoiets snel aan het licht komt en de pakkans groot is.

🏧 Maar zou jij geld pinnen uit een Geldmaat bevestigd aan de buitengevel van een pand van de Hells Angels gevestigd tussen een autosloperij en een pallethandel?

👽 Op internet is de *ENIGE* aanwijzing die we hebben over de identiteit van een website, de domeinnaam die we zien in de adresbalk van de browser. We hebben géén idee meer waar een server staat en wat de nationaliteit van de huurder van de domeinnaam is.

🆎 On precies te zijn, een in DNS geldige website-domeinnaam is een (potentieel nietszeggende of juist misleidende) reeks karakters hooguit bestaande uit:

1) kleine letters (a-z);
2) cijfers (0-9);
3) het minteken;
4) de punt als *scheidingsteken*.

🆔 Een domeinnaam is een *alias* voor een IP-adres, net als "Maartje" in mijn lijst met contacten een alias is voor een telefoonnummer (ik vermoed een ander telefoonnummer achter "mijn" Maartje).

☎️ Stel Maartje neemt morgen een ander telefoonnummer, en een ander krijgt haar oude nummer. Als ik vervolgens "Maartje" bel, krijg ik een ander aan de lijn (als ik pech heb is dat iemand die m.b.v. AI de stem van Maartje exact imiteert en mij misleidt). Dit is een van de problemen met domeinnamen: soms vallen ze in verkeerde handen (zie security.nl/search?origin=fron).

🆒 Domeinnamen hebben een bijzondere eigenschap: ze zijn (als alles goed gaat) wereldwijd uniek - in tegenstelling tot "Maartje" of "Erik van Straten".

📒 DNS is het wereldwijde "telefoonboek" om (onder meer), gegeven een domeinnaam, het huidige IP-adres van de server (waar de website actief op is) op te zoeken. Want computers op internet communiceren met elkaar middels IP-adressen, net zoals mobieltjes daar telefoonnummers voor gebruiken.

👹 Het probleem blijft dat domeinnamen nietszeggend of bewust misleidend kunnen zijn (enkele "verse" voorbeelden in de screenshot onderaan deze toot).

🏦 Precies daarom gebruiken de meeste banken EV (Extended Validation) website-certificaten. Het laatste certificaat voor rabobank.nl zie je in crt.sh/?id=16445752040 (merk op dat dit certificaat geldig is voor maar liefst 155 verschillende domeinnamen, die je vindt door in die pagina te zoeken naar DNS: ).

📄 Een website-certificaat kun je prima vergelijken met een *kopie* van een paspoort. De server stuurt dit ongevraagd naar de browser.

🤝 Er volgt echter een slimme wiskundige truc: de server *bewijst* aan de browser over het *originele* paspoort te beschikken (feitelijk een "private key"). Een crimineel heeft dus niets aan zo'n kopie.

🤔 In dat paspoort kunnen minder of meer gegevens staan (V staat voor Validated):

a) Domain V: alleen de domeinnaam (of meerdere domeinnamen).

b) Organization V: de domeinnaam/namen plus matig betrouwbare identificerende gegevens van de eigenaar van de website.

c) Extended V: de domeinnaam/namen plus redelijk betrouwbare identificerende gegevens van de eigenaar van de website.

d) QWAC (en.wikipedia.org/wiki/Qualifie): de domeinnaam/namen plus maximaal betrouwbare identificerende gegevens van de eigenaar van de website.

🕋 Alles valt of staat met de betrouwbaarheid van de *certificaatuitgever* (een gemeenteambtenaar die valse paspoorten aan criminelen verkoopt kan ook desastreus zijn voor het vertrouwen in het systeem, voorbeeld: security.nl/posting/800253/Amb).

——————

🤪 Technisch uitstapje (als je nog zin hebt):

🌐 DNS snapt niets van IDN's (International Domain Names). Punycode is een truc in browsers om toch met "nep" domeinnamen zoals

münchen.de
en
βιβλιοχαρτοπωλειον.ελ (een Griekse "domeinnaam")

te kunnen werken. "Onder water" wordt daarvoor Punycode gebruikt, volgens charset.org/punycode zijn dat resp.

xn--mnchen-3ya.de
en
xn--mxabanrbcmcwrbdkn2c8b1b.xn

🤬 In certificaten voor IDN's vind je (stom genoeg) uitsluitend de Punycode representatie. Het is allemaal zo gemaakt dat het simpel *lijkt* - maar niet is, en dat is meestal iets waar criminelen van profiteren.

👹 Ten slotte nog een wijdverbreid fabeltje: "met een certificaat wordt de https:// verbinding versleuteld". Dat is, al vele jaren, pertinente onzin.

🆔 Een (server- of client-) certificaat wordt uitsluitend gebruikt voor authenticatie (van de server of de client), het leveren van *bewijs* van identiteit.

🔐 Bij de moderne TLS v1.3 (waar steeds meer servers gebruik van maken voor https://) wordt de verbinding zelfs éérst versleuteld; pas dáárna stuurt de server diens kopie-paspoort (een kopie van het certificaat) naar de browser - over de reeds versleutelde verbinding dus.

P.S. emojies toegevoegd in een poging om de droogte van het technische geneuzel te beperken 🥱

@ErikSchouten73

Een screenshot uit een stukje van https://www.virustotal.com/gui/ip-address/193.143.1.14/relations met rechts domeinnamen van nepwebsites, zoals: www.ukgovret·com 639125-cb·com 851732-coinbase·com (ik heb steeds .com gewijzigd in ·com om onbedoeld openen te voorkómen).
#Certificaten#DV#DVCerts
Public
securityskeptic :donor: :verified:

In anticipation of the completion of ICANN policy activity for the New gTLD Program: Next Round, the Interisle team looked again at our 2024 Cybercrime Supply Chain study. Using the same data, we offer additional measurements, metrics and observations here to further inform ICANN and other policy makers as they consider policy for Round 2.

interisle.substack.com/p/icann

a diagram showing pricing versus domain registration fee of top-level domains to illustrate what attracts phishers
#icann#dns#domainnames
ExploreLive feeds
About