@MOICO Na pewno jeden, a prawdopodobnie dużo więcej (jeżeli nie wszystkie) z waszych publicznych współdzielonych adresów IP (188.121.0.11) trafił sobie w ostatnich dniach na mniejszą #czarnolisto jakiegoś Cloudflare czy jak im tam, pierwsze słyszę, pfffff co oni tam w ogóle mogą ( ͡°͜ʖ͡°). No i ten, tego, mówię wam, jest śmiechowo - nagle połowa internetów zaczęła krzyczeć o capche, na godaddy.com można sobie zobaczyć jak wyglądają drakońskie restrykcje w stylu 30 minut wait time po jednym nieudanym logowaniu, a na przykład porkbun.com całkowicie blokuje logowanie na konta klientów i nie ważne czy parkujesz tam jedną, sto, czy tysiąc domen. Skutki w każdym razie widać już na każdym kroku.
Nie wiem czy wiecie, ale z tej jednej tylko #czarnolisto korzysta pierdyliard maszyn i aplikacji, a w ciągu kilku następnych tygodni większość z nich ją sobie uaktualni i co się stanie? Puści tama i uderzy w was fala powodziowa jak w 1997, tyle że zamiast wody będzie to kał o kleistej konsystencji. Generalnie jeśli nic nie zrobicie to za moment ludzie wam nie dadzą żyć że każda strona, portal i blogasek każą im zaznaczać kwadraciki z samochodami osobowymi - stąd będzie już tylko coraz gorzej, a przekroczycie horyzont zdarzeń w momencie gdy ilość wpisów #czarnolisto aktywuje restrykcje Facebooka na cały zakres - stamtąd nie ma już powrotu.
Dobre serduszko mam, zrobiłem wam tutorial, punkt po punkcie, jak się z tego wygrzebać:
1. Poproście tatę Internetunion albo braciszka Seev o zapas świeżych, nie czarnolistowanych adresów IPv4. 10, 20, 30 - co łaska, byle jeszcze w folijce były, z oryginalną naklejką, takienowe.
2. Rotacja puli współdzielonych adresów na DHCP - koniecznie, dzięki temu na dzień dobry zmniejszycie prawdopodobieństwo wielokrotnego abuse z jednego IP, abuse rozłoży się równomiernie na kilka różnych adresów i na żadnym nie skumuluje się wystarczająca ilość żeby trafić na #czarnolisto - zakładając oczywiście, że w miarę sprawnie identyfikujecie i ubijacie szkodniki.
3. PTR rekord (revDNS) dla każdego adresu IP z w miarę modularną i logiczną semantyką, powiedzmy gate4.sector5.users-shared.moico.pl, gdzie: moico.pl - dolary przeciw orzechom, że to ISP, tam będziem logi słać users-shared - użyszkodnicy, n-----------------e.jpg i sugestia, że współdzielą adres, supcio sector5 - no widać jakaś lokalizacja, kto wie, może nawet Trójkąt - zwieracz Wrocławia gate4 - ewidentnie numer bramy/node/end of de lajn
Taki host to dla admina/filtra/bota masa cennych informacji. Walnie bana na gate4.sector5.users.moico.pl to odetnie dostęp jednemu współdzielonemu IP w jednej lokalizacji; będzie więcej nadużyć to zbanuje całą lokalizację *.sector5.users-shared.moico.pl; więcej problemów to może jakieś restrykcje dla wszystkich współdzielonych adresów *.users-shared.moico.pl. Generalnie nie zrobicie sobie kuku gównohostem w stylu cg1-gate1.net.internetunion.pl który nic nikomu nie mówi i kompletnie nie trzyma się kupy i zmniejszycie prawdopodobieństwo, że połowa sieci straci dostęp dostęp do jakieś usługi bo wirus na 10-letnim laptopie Janusza Kowalkiego rozesłał trochę spamu pod zły adres w złym czasie i w niesprzyjającym układzie planet. Dziś wpisy do blacklist i bany już większości dodają automaty z prostym machine learning, ale kierują się taką samą logiką jak człowiek - modularna, logiczna struktura hosta pozwala uniknąć wielkozakresowych blokad dostępu do usług wszelakich.
5. Host w revDNS, koniecznie w domenie którą kontrolujecie. Domena BEZ maskowania WHOIS, "whois guard" na domenie to jest czerwona flaga za obfuskację. WHOIS info musi mieć kompletnie i poprawnie wypełnione pola Registrant, Registrant Org, Admin ID, Tech ID - adresy, telefony, maile. Taki WHOIS sprawi, że dostaniecie abuse report, a nie bana/wpis do #czarnolisto. Dodatkowo przy okazji, uwaga BONUS - Bogowie i elita elit #webdev i #seo wie, że Google ma nie jeden, a kilka czynników związanych z wiarygodnością domeny, że dane WHOIS są skrupulatnie indeksowane i że jest kosmiczne penalty za obfuskację tych danych - reszta przeczyta sobie o tym za dwa lata na Medium czy innym SmashingMagazine.
6. Rekord A dla każdego IP z puli, identyczny z rekordem PTR. Wydaje się oczywiste, ale robię sobie lookup i widzę: 188.121.0.10 -> cg1-gate1.net.internetunion.pl cg1-gate1.net.internetunion.pl -> Not Found
Ummm... WTF?! Z automatu fail przy każdym dns lookup, a to oznacza brak cache, a to oznacza ponowny dns lookup przy każdym ponownym zapytaniu. Czyli... eee... yyy... macie permanentnego laga od kilku do kilkuset milisekund na każdym zapytaniu do absolutnie wszystkich maszyn, usług i aplikacji, które z takiego czy innego powodu robią dns lookup i czekają na jego wynik - a dlaczego? No na własne życzenie raczej, nie inaczej - TAK MA BYĆ, it's not a bug, it's a feature. Niech ktoś jakie straty w wydajności i łączne opóźnienia wam to generuje w skali całej sieci, ilość zapytań do serwera DNS jako bonus.
7. Odwołajcie się formularzami na każdej #czarnolisto osobno dla każdego czarnolistowanego IP - zawsze standardowy form, nie płaćcie żadnego haraczu, jak zapłacicie choćby jednemu to staniecie się stałym klientem wszystkich, to jest wielki biznes oparty na wymuszeniach, szczególnie teraz gdy IPv4 są praktycznie na wyczerpaniu i pule osiągają zawrotne kwoty na rynku wtórnym - zwęszą choćby cień desperacji u wnioskującego i pozamiatane. W odwołaniach podajcie kompletne dane i informację gdzie zgłaszać abuse (dane firmy, adres korespondencyjny, numer telefonu oraz e-mail), że jesteście ISP, że użytkownikami są osoby prywatne i że czarnolistowany IP jest adresem współdzielonym, ale zawsze sprawdzajcie jakie wymogi mają konkretne listy - nie chcecie czekać miesiąc na odpowiedź odmowną bo nie podaliście rozmiaru buta.
8. Pod żadnym pozorem nie włączajcie czarnolistowanych adresów IP do publicznej rotacji dopóki nie znikną ze wszystkich #czarnolisto (a to może potrwać do kilku tygodni, czasem dłużej) - pełna kwarantanna, bo większość tych list jest współzależna od siebie na różnych poziomach s----------a i dochodzi do cyrków jak się zaczynają synchronizować. W większości #czarnolisto sprawdzają czy adres IP/host jest już na innych #czarnolisto, jeżeli jest to wpis jest dodawany z miejsca nawet po jednym raporcie, a jeżeli nie to musi się ich skumulować cała masa, żeby dostać ten pierwszy wpis.
9. IPv6. Jest 2019, dzie IPv6. Dlaczego ultranowoczesne Moico nie ma infrastruktury IPv6. Nie rozumiem, ja widzę tylko dwie logiczne opcje - albo zainwestowaliście w nieruchomości i każdy sysadmin u was i każda sprzątaczka jest zarejestrowanym LIR u dobrego wujka RIPE NCC albo planujecie się sprzedać na krótko "zanim p--------e" i zostawić nabywcę w przysłowiową ręką w nocniku. Niech ktoś z wyjaśnieniem.
@niepokonany: obstawiam że powód trafienia na #czarnolisto mogł być powiązany z DoH czyli nauczymy że nie ładnie korzystać z bezpiecznych przeglądarek, które nie dadzą się niczym śledzić.
@MOICO: Zanim jednak to poproszę o szybciutką, jednorazową, drobną, tyci tyci zmianę PTR pod moim osobistym, lśniącym, cudownym, publicznym IP który od was dostałem w prezencie. Potrzebuję bo VPN u klienta robi revDNS lookup i się musi zgadzać - teraz ograniczenie się do pracy wyłącznie z domu jest niewykonalne, stawianie VPN żeby móc połączyć się z innym VPN jest absurdalne, a tak z własną domeną w PTR na łączu domowym
@niepokonany Dobra ( ͡°͜ʖ͡°) Dziękówka za obszerny tekst - w sumie miło się czytało jak ktoś ogarnięty coś napisze ze szczegółami, a teraz wyjaśnienia: (punkty nie odnoszą się do numeracji Twoich)
1) adres, który podałeś to zgadza się - jest współdzielony i lecą nim sobie użytkownicy którzy są NATowani, bo niektórzy z troski o swoje bezpieczeństwo chcieli dostać prywatny adres (sic!). Ktoś pośmieszkuje za bardzo i lecą bany. Na szczęście więcej jest tych współdzielonych adresów, bo trochę pszypau puszczać kilka tysięcy userów z jednego IP ( ͡°͜ʖ͡°)ノ⌐■-■ 2) PTRy bardziej sensowne - no dzięki za info, być może zmienimy, no stety, niestety sam nie rządzę więc nie każda czynność i zmiana zależy ode mnie ( ͡°͜ʖ͡°)ノ⌐■-■ 3) Co do całego ABUSE - maile dostajemy i to nawet trochę tego potrafi wpaść, o dziwo niewiele z NATowanych adresów ( ͡°͜ʖ͡°) ale torrenciarzy sporo jest (✌
Nie wiem czy wiecie, ale z tej jednej tylko #czarnolisto korzysta pierdyliard maszyn i aplikacji, a w ciągu kilku następnych tygodni większość z nich ją sobie uaktualni i co się stanie? Puści tama i uderzy w was fala powodziowa jak w 1997, tyle że zamiast wody będzie to kał o kleistej konsystencji. Generalnie jeśli nic nie zrobicie to za moment ludzie wam nie dadzą żyć że każda strona, portal i blogasek każą im zaznaczać kwadraciki z samochodami osobowymi - stąd będzie już tylko coraz gorzej, a przekroczycie horyzont zdarzeń w momencie gdy ilość wpisów #czarnolisto aktywuje restrykcje Facebooka na cały zakres - stamtąd nie ma już powrotu.
Dobre serduszko mam, zrobiłem wam tutorial, punkt po punkcie, jak się z tego wygrzebać:
1. Poproście tatę Internetunion albo braciszka Seev o zapas świeżych, nie czarnolistowanych adresów IPv4. 10, 20, 30 - co łaska, byle jeszcze w folijce były, z oryginalną naklejką, takienowe.
2. Rotacja puli współdzielonych adresów na DHCP - koniecznie, dzięki temu na dzień dobry zmniejszycie prawdopodobieństwo wielokrotnego abuse z jednego IP, abuse rozłoży się równomiernie na kilka różnych adresów i na żadnym nie skumuluje się wystarczająca ilość żeby trafić na #czarnolisto - zakładając oczywiście, że w miarę sprawnie identyfikujecie i ubijacie szkodniki.
3. PTR rekord (revDNS) dla każdego adresu IP z w miarę modularną i logiczną semantyką, powiedzmy gate4.sector5.users-shared.moico.pl, gdzie:
moico.pl - dolary przeciw orzechom, że to ISP, tam będziem logi słać
users-shared - użyszkodnicy, n-----------------e.jpg i sugestia, że współdzielą adres, supcio
sector5 - no widać jakaś lokalizacja, kto wie, może nawet Trójkąt - zwieracz Wrocławia
gate4 - ewidentnie numer bramy/node/end of de lajn
Taki host to dla admina/filtra/bota masa cennych informacji. Walnie bana na gate4.sector5.users.moico.pl to odetnie dostęp jednemu współdzielonemu IP w jednej lokalizacji; będzie więcej nadużyć to zbanuje całą lokalizację *.sector5.users-shared.moico.pl; więcej problemów to może jakieś restrykcje dla wszystkich współdzielonych adresów *.users-shared.moico.pl. Generalnie nie zrobicie sobie kuku gównohostem w stylu cg1-gate1.net.internetunion.pl który nic nikomu nie mówi i kompletnie nie trzyma się kupy i zmniejszycie prawdopodobieństwo, że połowa sieci straci dostęp dostęp do jakieś usługi bo wirus na 10-letnim laptopie Janusza Kowalkiego rozesłał trochę spamu pod zły adres w złym czasie i w niesprzyjającym układzie planet. Dziś wpisy do blacklist i bany już większości dodają automaty z prostym machine learning, ale kierują się taką samą logiką jak człowiek - modularna, logiczna struktura hosta pozwala uniknąć wielkozakresowych blokad dostępu do usług wszelakich.
5. Host w revDNS, koniecznie w domenie którą kontrolujecie. Domena BEZ maskowania WHOIS, "whois guard" na domenie to jest czerwona flaga za obfuskację. WHOIS info musi mieć kompletnie i poprawnie wypełnione pola Registrant, Registrant Org, Admin ID, Tech ID - adresy, telefony, maile. Taki WHOIS sprawi, że dostaniecie abuse report, a nie bana/wpis do #czarnolisto. Dodatkowo przy okazji, uwaga BONUS - Bogowie i elita elit #webdev i #seo wie, że Google ma nie jeden, a kilka czynników związanych z wiarygodnością domeny, że dane WHOIS są skrupulatnie indeksowane i że jest kosmiczne penalty za obfuskację tych danych - reszta przeczyta sobie o tym za dwa lata na Medium czy innym SmashingMagazine.
6. Rekord A dla każdego IP z puli, identyczny z rekordem PTR. Wydaje się oczywiste, ale robię sobie lookup i widzę:
188.121.0.10 -> cg1-gate1.net.internetunion.pl
cg1-gate1.net.internetunion.pl -> Not Found
Ummm... WTF?! Z automatu fail przy każdym dns lookup, a to oznacza brak cache, a to oznacza ponowny dns lookup przy każdym ponownym zapytaniu. Czyli... eee... yyy... macie permanentnego laga od kilku do kilkuset milisekund na każdym zapytaniu do absolutnie wszystkich maszyn, usług i aplikacji, które z takiego czy innego powodu robią dns lookup i czekają na jego wynik - a dlaczego? No na własne życzenie raczej, nie inaczej - TAK MA BYĆ, it's not a bug, it's a feature. Niech ktoś jakie straty w wydajności i łączne opóźnienia wam to generuje w skali całej sieci, ilość zapytań do serwera DNS jako bonus.
7. Odwołajcie się formularzami na każdej #czarnolisto osobno dla każdego czarnolistowanego IP - zawsze standardowy form, nie płaćcie żadnego haraczu, jak zapłacicie choćby jednemu to staniecie się stałym klientem wszystkich, to jest wielki biznes oparty na wymuszeniach, szczególnie teraz gdy IPv4 są praktycznie na wyczerpaniu i pule osiągają zawrotne kwoty na rynku wtórnym - zwęszą choćby cień desperacji u wnioskującego i pozamiatane. W odwołaniach podajcie kompletne dane i informację gdzie zgłaszać abuse (dane firmy, adres korespondencyjny, numer telefonu oraz e-mail), że jesteście ISP, że użytkownikami są osoby prywatne i że czarnolistowany IP jest adresem współdzielonym, ale zawsze sprawdzajcie jakie wymogi mają konkretne listy - nie chcecie czekać miesiąc na odpowiedź odmowną bo nie podaliście rozmiaru buta.
8. Pod żadnym pozorem nie włączajcie czarnolistowanych adresów IP do publicznej rotacji dopóki nie znikną ze wszystkich #czarnolisto (a to może potrwać do kilku tygodni, czasem dłużej) - pełna kwarantanna, bo większość tych list jest współzależna od siebie na różnych poziomach s----------a i dochodzi do cyrków jak się zaczynają synchronizować. W większości #czarnolisto sprawdzają czy adres IP/host jest już na innych #czarnolisto, jeżeli jest to wpis jest dodawany z miejsca nawet po jednym raporcie, a jeżeli nie to musi się ich skumulować cała masa, żeby dostać ten pierwszy wpis.
9. IPv6. Jest 2019, dzie IPv6. Dlaczego ultranowoczesne Moico nie ma infrastruktury IPv6. Nie rozumiem, ja widzę tylko dwie logiczne opcje - albo zainwestowaliście w nieruchomości i każdy sysadmin u was i każda sprzątaczka jest zarejestrowanym LIR u dobrego wujka RIPE NCC albo planujecie się sprzedać na krótko "zanim p--------e" i zostawić nabywcę w przysłowiową ręką w nocniku. Niech ktoś z wyjaśnieniem.
10. Nie było punktu 4.
11. $$$$$$$$$$$$$$$$$$$$$
#moico #devops #programista15k #programista60k
https://www.youtube.com/watch?v=f5hooj3qKM4
źródło: comment_Kf4Iw6TFn0ouJuBWINkxu0vUWrPDhBer.jpg
PobierzKomentarz usunięty przez autora
Dziękówka za obszerny tekst - w sumie miło się czytało jak ktoś ogarnięty coś napisze ze szczegółami, a teraz wyjaśnienia: (punkty nie odnoszą się do numeracji Twoich)
1) adres, który podałeś to zgadza się - jest współdzielony i lecą nim sobie użytkownicy którzy są NATowani, bo niektórzy z troski o swoje bezpieczeństwo chcieli dostać prywatny adres (sic!). Ktoś pośmieszkuje za bardzo i lecą bany. Na szczęście więcej jest tych współdzielonych adresów, bo trochę pszypau puszczać kilka tysięcy userów z jednego IP ( ͡° ͜ʖ ͡°)ノ⌐■-■
2) PTRy bardziej sensowne - no dzięki za info, być może zmienimy, no stety, niestety sam nie rządzę więc nie każda czynność i zmiana zależy ode mnie ( ͡° ͜ʖ ͡°)ノ⌐■-■
3) Co do całego ABUSE - maile dostajemy i to nawet trochę tego potrafi wpaść, o dziwo niewiele z NATowanych adresów ( ͡° ͜ʖ ͡°) ale torrenciarzy sporo jest (✌