В данном репозитории лежат скрипты и конфигурационные файлы для нескольких доменов из списка РКН.
Эти домены выбраны исходя из следующего принципа: пара доменов для https-записей, пара для http и пара для записей вообще без URL-ов.
Цель регистрации доменов из "чёрного списка" не так называемая DNS-атака, а попытка понять, какие провайдеры производят DNS-резолвинг при обработке выгрузки РКН, а какие — нет.
Для предотвращения "атаки" предприняты следующие меры:
- для доменов с "малым" числом IP адресов используются уже указанные в выгрузке для соответствующих доменов IP адреса
- для доменов с "большим" числом IP адресов используются случайные 2048 IP адреса указанные в выгрузке для каких-либо доменов
Таким образом, множество IP-адресов, в которые резольвится выгрузка, от этих доменов не должен как-либо измениться.
Но какое-то количество багов всё же было стриггерено:
- Никто не ожидает испанский CERT, у которого случилось ложное срабатывание автоматики на один из доменов.
- В
dnspythonесть квадратичная деградация производительности на ответах с большим числом однотипных RR.