Содержание
Внутрисетевые DNS
Имена сайтов, к которым мы привыкли, называются доменами и не имеют непосредственного отношения к серверу, на котором расположен сайт. Если IP можно сравнить с реальным адресом: город, улица, дом, то домен - имя в телефонном справочнике. В качестве телефонных справочников выступают DNS-сервера, к которым обращаются пользовательские устройства и получают в ответ адрес целевого ресурса.
Существует множество доменных зон вроде .ru, .com, .us. Все они содержатся крупными компаниями и являются частью их бизнеса. В подавляющем количестве доменных регистраторов предусмотрена исключительно платная регистрация домена. Как известно, благотворительностью корпорации не занимаются.
Несмотря на то, что традиционные домены могут резолвить (разрешать, сообщать) адреса Yggdrasil, их использование нецелесообразно, т.к. обращение к ним происходит через интернет. Некоторые из таких DNS-серверов, можно найти на официальной странице проекта в разделе «Public Services» (см. ссылки). Зачастую это просто зеркала традиционных DNS-серверов. В таком сценарии просматривается некоторая неполноценность: происходит «зеркалирование» платного централизованного домена в меш-сеть, которая призвана стать новым этапом в развитии технологий. В децентрализованной сети логично использовать децентрализованную систему доменных имен. Такие системы есть, их несколько. Внутри Yggdrasil можно использовать ALFIS или EmerDNS. Для регистрации доменного имени в этих системах вам не потребуется фотография паспорта, обращение в офис, или оплата каких-то счетов. Все, что нужно - добавить запись о доменном имени в блокчейн, в соответствии с документацией к конкретной системе.
Ниже, на этой странице собраны публичные исключительно внутрисетевые адерса DNS, которые можно использовать без установки дополнительного ПО.
Адрес этих серверов (либо адрес собственного резолвера (ALFIS, EmerDNS)) нужно указать в вашей системе в качестве дополнительного DNS-сервера.
Механизм настойки DNS в вашей системе зависит от самой ОС. В Windows эти адреса указываются в свойствах протокола IPv6 адаптера сетевого подключения, в Linux - в конфигурационных файлах systemd-resolved или resolv.conf. Подробнее о настройке разрешения имен в различных ОС читайте в статье Настройка DNS в различных операционных системах.
Узнать вручную какой IP-адрес соответствует определенному доменному имени можно с помощью утилит dig или nslookup.
Примеры использования (без указания в параметрах утилит адреса резолвера адрес ресурса будет возвращен, если резолвер уканаз в настройках ОС):
dig AAAA rutor.ygg +short nslookup -type=AAAA rutor.ygg ping rutor.ygg
Список серверов
Публичные внутрисетевые сервера DNS, которые можно использовать без дополнительного ПО, перечислены в таблице ниже.
Важно: пожалуйста, публикуйте свои сервера, если они располагаются на достаточно производительном оборудовании, подключены к быстрым пирам и работают 24/7. В противном случае их массовое использование будет проблематичным.
| IP сервера | Размещение | Администратор | Примечание |
|---|---|---|---|
| 302:db60::53 | Франкфурт, Германия | Revertron | ALFIS, OpenNIC, AdGuard, Clearnet |
| 300:6223::53 | Братислава, Словакия | Revertron | ALFIS, OpenNIC, AdGuard, Clearnet |
| 302:7991::53 | Амстердам, Нидерланды | Revertron | ALFIS, OpenNIC, AdGuard, Clearnet |
| 301:1088::53 | Буффало, США | Revertron | |
| 300:4b63:bc3e:f090:babe::0 | Нидерланды | vpn.anon | ALFIS, EMERDNS, ClearNet |
| 303:71a7:ae08:b479::53 | Украина | ufm | .ygg, ClearNet |
| 301:5eb5:f061:678e::53 | Латвия | YGGverse | .ygg, ClearNet |
Дополнительно
Также, сопоставление доменного имени IP-адресу можно вручную прописать в файле /etc/hosts (c:\windows\system32\drivers\etc\hosts).
Этот способ подойдёт тем, кто по каким-то причинам не хочет использовать DNS-сервер и пользуется только теми сервисами, которые сам прописал в hosts.
Читайте так же о настройках Mozilla Firefox для корректной работы с адресами Yggdrasil: Настройки Firefox для Yggdrasil
Доступ через .ygg.at
Ко всем записям в домене .ygg есть доступ через «белый» домен .ygg.at - т.е. например, howto.ygg и howto.ygg.at - это, по сути, одна и та же запись.
Доступ через интернет
Список бесплатных DNS серверов для доступа к ресурсам из Интернет, подключения сертификатов Let's Encrypt и других целей
- https://www.duckdns.org - максимум 5 доменов, только записи A/AAAA
- https://desec.io - максимум 15 доменов, поддерживает NS и другие записи
Ссылки
Официальный список сервисов Yggdrasil: https://yggdrasil-network.github.io/services.html
Обсуждение
olej@nvme:~/2023/Yggdrasil$ host linux-ru.lib
linux-ru.lib has address 90.156.230.27
- вот это - разрешение через OpenNIC, который дальше переадресует на EmerDNS.
А вот ... :
olej@nvme:~/2023/Yggdrasil$ host linux-ru.lib 301:1088::53
Using domain server:
Name: 301:1088::53
Address: 301:1088::53#53
Aliases:
Host linux-ru.lib not found: 3(NXDOMAIN)
И так по ВСЕМ указанным IP !
P.S. А 300:4b63:bc3e:f090:babe::0 - так тот просто давно сдох:
olej@nvme:~/2023/Yggdrasil$ host linux-ru.ygg 300:4b63:bc3e:f090:babe::0
;; communications error to 300:4b63:bc3e:f090:babe::#53: timed out
;; communications error to 300:4b63:bc3e:f090:babe::#53: timed out
;; no servers could be reached
Это относится:
1. только к .ygg доменной зоне?
2. ко всем доменным зонам обслуживаемым ALFIS? (.anon, .btn, .conf, .index, .merch, .mirror, .mob, .screen, .srv, .ygg) 3. только к паре доменным зон: .anon и .ygg, которые предназначены для обслуживания IPv6 адресов только из Yggdrasil?
За подробностями можно обратиться к http://[222:a8e4:50cd:55c:788e:b0a5:4e2f:a92c]/user:ufm
Предварительно думаю запустить на другом порту (53-й мне хотелось бы оставить в запасе), то есть будет:
[201:23b4:991a:634d:8359:4521:5576:15b7]:5353 или это не очень хорошо?
На данный момент:
netstat -tulpn | grep LISTEN
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 5760/systemd-resolv
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 568/alfis
Если крякнуть сервер то можно фишингом подставить пейпел или еще что, нет никаких гарантий что ресурс именно тот. Это может произойти даже без ведома администратора сервера.
Без тонкой настройки фильтров и приоритетов, новичку лучше отказаться вовсе от заблокированного DNS чем подменять весь клирнет нодой неизвестного происхождения.
Цели понятны, конечно, но мысли такие.
Нужно двигать от централизованных DNS в сторону локалхоста и асинхронного шифрования, открыв для других 4244 порт вместо 53... имхо
Нет, я вполне представляю себе как устроить атаку "по взрослому". Но если государство (или кто-то типа Илона Маска - у остальных денег не хватит) настолько озаботились, что сделали лично для меня полную эмуляцию кусочка интернета, я-бы возгордился. :)
Вот кстати ygg, с его подходом "зачем нам https, у нас трафик и так шифрованный" при использовании алфтсных доменов в пролёте. Спасёт только либо хождение по ipv6 адресам, либо использование публичного ключа в качестве имени хоста. Ну либо (ВНЕЗАПНО) использование ygg.at для получения "честного" сертификата.
Альфис целесообразно использовать только как локальный резольвер, проверяя у себя цепочку блоков. На практике никто не хочет держать у себя блокчейн, может у альфиса он маленький и будет исключением, но по факту все ключи на холодных кошельках зависят от пары десятков пулов.
1. Подменить у тебя корневые сертификаты, которые лежат у тебя в системе. (как минимум - добавить свой)
2. Подменить тебе браузер.
3. Подменить сайт пейпела.
Я не говорю, что всё это сделать нельзя. Но если твой комп настолько открыт всем - тебе не о том, что тебе пейпел подменят надо заботиться. :)
P.S. база алфиса сейчас 6.3 мегабайта.
есть еще фактор CPU, на моб девайсах нужно компьютить новые публичные ключи в цепочке. плюс DHT подписи или что там внутри. сейчас активность небольшая, но допустим с ростом популярности тех же сквоттеров может начаться поедание батареи и возникнет потребность в прокси или "лёгкого кошелька", что вернет модель DNS в исходную точку для более 50% потенциального моб. рынка.
если бы у меня стояла такая задача, при администрировании DNS, я бы наверное попробовал подменить обновление сервиса, работающего от рута
понятно что там ключи что то в локальной связке уже...
может даже начал с прозвона открытых портов (но это оффтоп)
https://habr.com/ru/companies/radcop/articles/771776/
p.s. pp и взламывать не нужно, недавно пришла квитанция за услуги DigitalOcean, за то что я больше года у них в перманентном бане (за попытку майнинга на тестовом аккаунте)
чем мне нравится yggdrasil, что здесь нет этого упоротого pow блокчейна с его расточительностью ресурсов в пользу иллюзии собственности.
пара "публичный-приватный ключ" - пожалуй лучшее, что изобрело человечество для утверждения подлинности отправителя. а генерация статичного ipv6 из ключа - это гениально!
сохранить адрес в закладки, не полениться добавить в /etc/hosts или ввести в поле адреса название поддиректории решает все проблемы с ЧПУ
пока есть привычка делегировать доверие третьей стороне - проблема фальсификации и блокировок будет оставаться актуальной но тенденция отключать собственный моск только набирает популярность
А лучше купить хороший роутер, на который можно поставить и блокировщик рекламы и Альфис. Тогда и точка доверия у тебя дома, и блокировка рекламы/слежки всякой.
https://github.com/ygguser/simple_sites_directory/issues/2
UPD: Была проблема с Альфисом, блокчейн застрял на каком-то блоке. Старое резолвил, новое - нет. Всё пофикшено.
dig AAAA @302:db60::53 yo.ygg +short
201:23b4:991a:634d:8359:4521:5576:15b7
nslookup yo.ygg 302:db60::53
Server: 302:db60::53
Address: 302:db60::53#53
Name: yo.ygg
Address: 201:23b4:991a:634d:8359:4521:5576:15b7
п.с. добавили поддержку всех нод из списка на этой странице кроме первого в PR #3 так что проблема не актуальна
п.п.с. если заработал то нужно раскомментить в конфиге, убрали чтобы ответ сервера был шустрее, так как выборка начинается с первого в списке до первого сервера отдевшего валидный IP
.ygg.at полезная штука, но к нему нет настроек для других айпишников, поэтому я пока зарегал бесплатный поддомен на duckdns.org