DNS reescrita de resposta + Sitefinder Era: Re: [GTER] Verisign? Esqueçam!...

[Frederico A C Neves]

Senhores,

O UOL removeu a reescrita de resposta DNS com RCODE=3. Abaixo uma
consulta ao servidor recursivo que apresentou o comportamento normal
respeitando o standard.

Espero que com isto ao menos alguns tenham aprendido a importância em
relação a manutenção do modelo de confiança stub-resolver ->
recursive-caching-server que é boa parte da base da escalabilidade do
sistema atual.

Voltamos a normalidade na hierarquia DNS. 

Atenciosamente,
Frederico Neves

> dig @200.221.11.100 rcode3.registro.br
...
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 6
...

> tcpdump -ni fxp0 host 200.221.11.100
...
xx:xx:46.351896 x.x.x.x.x > 200.221.11.100.53: 6+ A? rcode3.registro.br. (36)
xx:xx:46.355760 200.221.11.100.53 > x.x.x.x.x: 6 NXDomain 0/1/0 (90) (DF)
...

On Fri, Oct 03, 2003 at 06:19:10PM -0300, Frederico A C Neves wrote:
> [ Os que receberem mais de uma cópia, desculpem o cross-posting ]
> 
> Senhores,
> 
> Parece que as "forças do bem" prevaleceram, ao menos temporariamente [1], 
> 
> Mas isto, assim mesmo, não termina com os principais problemas que
> estamos começando a ver, não só aqui no Brasil mas em outros lugares
> também. Estes problema é a adoção de políticas locais nos resolvers.
> 
> A ação da Verisign, apesar de não infringir claramente nenhum
> standard, violou as boas praticas da rede e catalizou fortemente um
> processo de fragmentação do espaço de nomes, o que no fim levaria à
> perda do comportamento determinístico do sistema.
> 
> Prova do risco é o caso do UOL que utilizou uma solução que fere
> fortemente o standard DNS através da reescrita de uma resposta
> autoritativa. Entretanto, após comunicação inicial do problema, o UOL
> mostra uma atitude responsável e já está conversando com o Registro.br
> sobre o problema causado, com a promessa de uma resolução até a
> próxima quinta-feira.
> 
> É extremamente importante que a hierarquia do espaço de nomes da
> Internet seja respeitada a todo custo. Este comportamento é
> fundamental para a estabilidade dos serviços que existem hoje.
> 
> Ações com políticas em resolvers vem sendo reportadas como o maior
> perigo a estabilidade e funcionamento da Internet.
> 
> Atenciosamente,
> Frederico Neves
> 
> On Wed, Oct 01, 2003 at 06:38:11AM +0000, Hermann Wecke wrote:
> > É *inacreditável* como temos chupins no Brasil. Não importa nem que a
> > idéia seja péssima, mas se der uma sobrevida pra empresa estamos adotando!
> > 
> > Mesmo depois de ver todas as críticas quanto ao uso do "wildcard" para os
> > domínios .com e .net, o UOL gostou tanto da idéia [de jerico] que
> > envenenou seus DNSs para responder TODO E QUALQUER domínio inexistente com
> > a sua própria página de busca. Mesmo que esse domínio seja registrado por
> > alguém.
> > 
> > Tudo bem que o UOL está limitando-se a envenenar os servidores DNS que
> > servem (teoricamente) seus clientes, mas já é o suficiente para um bom
> > processo (criminal e civil???) por desviar o tráfego de domínios
> > legalmente registrados.
> > 
> [...]
> 
> [1]
> VeriSign Site Finder Service Update 
> 
> October 03, 2003 14:58:00 (ET)
> 
> 
> MOUNTAIN VIEW, Calif., Oct 3, 2003 /PRNewswire-FirstCall via COMTEX/
> -- VeriSign, Inc., the leading provider of critical infrastructure
...