Vlákno názorů k článku Konec problémů CZ.NIC? Kdepak! od pp - zrejme problem vasi IP adresy, poslete to odjinud,...

zrejme problem vasi IP adresy, poslete to odjinud, pokud to umite (aby v mailu nebyla vase IP adresa, coz je treba i v pripade, ze to poslete pres www rozhrani mail.seznam.cz)

Jak uz psal Dan, paklize se domahate pro(pre)zkoumani nejakeho problemu, je potreba, abyste poskytl co nejvice relevantnich informaci. Pisete, ze uz jste kontaktoval "vedeni CZ.NICu". To je ostatne jediny zpusob, jak ziskat nejake informace. Predstava, ze LUPU cte nejaky hodny strycek, ktery obchazi CZ.NIC, je iluzorni predstava.

Slozitost problemu identifikace DoS utoku uz myslim popisoval Dan. K Vasim cislum mohu sdelit, ze onech 2000 e-mailu rozhodne neni posilano v jeden okamzik z jednoho MTA. Pokud nejaky takovy server existuje, je realne se domnivat, ze jde o utok - coz je mozne dohledat pripadne prijatych e-mailech.

Na zjednoduseni problemu dle Vasi interpretace "2000 e-mailu vyradi stranky z provozu" nemohu pristoupit. Mnozstvi posilanych e-maily nema zadnou primou vazbu na vyrazeni systemu z provozu. Dan Lukes mi e-mailu naznacil, co asi myslite tim "vyrazenim z provozu". Bohuzel jsem tu vec nevidel (asi malo klikam po www.nic.cz nebo klikam ve spatny cas), nicmene vzhledem k vykonostnimu utlumu databaze v poslednich dnech je mozne, ze dotycny dotaz vytimeoutuje - coz jiste neni dobre. Proc tomu tak je, nevim, nicmene pokud vim, dodavatel na oprave pracuje.

Nevim, jake hlavicky mel presne na mysli Michal, ale obecn eplati, ze pokud si nekdo stezuje na to, ze neco funguje nespravne, pak je nutne poskytnout VESKERE dostupne udaje, ktere by snad jen trochu mohly napomoci identifikaci a tedy odstraneni problemu. Takze - pokud se ptate hlavicky ceho, pak ja naprosto samozrejme a bez znalosti konkretniho problemu mohu odopvedet - samozrejme, ze vsech souvisejicich dopisu - odeslanych i prijatych.

Problematika DoS utoku je pomerne komplikovana a tezko resitelna - ale pokud je z nejakeho serveru veden DoS utok zabranujici, nebo prinejmensim vazne komplikujici naprosto vsem uzivatelum pouzivani urcite konkretni sluzby (zde registraci) pak je naprosto nezbytne tohoto ucotcnika zablokovat, a to i za cenu toho, ze to pripadne postihne i NEKTERE uzivatele, kteri utok sami neprovozuji. Takovy stav je rozhodne ve vysledku lepsi nez kdyz je sluzba blokovana VSEM. Pokud se domnivate, ze znate lepsi reseni, sem s nim. Neznam detailni cisla, ale myslim, ze vase odhady poctu dopisu jsou NAPROSTO podhodnocene. Jak je to s uzivanim www.nic.cz nevim - nemam dostatecny prehled - ale spuhlasim s tim, ze je naprosto neskutecne nespolehlivy a pomaly. Nemam poneti, jestli je to tim, ze zacal byt vyuzivan nejakym zpusobem, ktery nikdo nepredpokladal, nebo zda je proste jen spatne navrzen. Odpoved na tuto otazku muze, zrejme, poksytnout pouze jeho provozovatel nebo CZ.NIC ...

a dokonce i v tento moment???

no to sem si vsiml, ale po celou noc?? a druhy den to same?? :(

Nevím které hlavičky máte na mysli. Hlavičky specielních žádostí nebo hlavičky registračních emailů kterí se vrátily pro DOS útok?
Co se týče spec. žádostí, již jsem kontaktoval vedení NICu, kterému posílám podklady. Co se týče DOS útoku - chápu, že se někdo brání DOS útoku. Ale pokud je jeden jediný email považován za DOS útok, tak je to trochu přitažené za vlasy nemyslíte? Pokud někdo hromadně rozesílá ze serveru free emailu emaily na NIC, nedává to automaticky práco zablokovat všechny uživatele. ostatně, diskutabilní je co vy vidíte pod pojmen DOS útok. Překlad tohoto slova je jasný. Pokud denně "padá" v průměru 200 domén, pokud by na všechny byly posílány registrační emaily třeba deseti subjekty, je to 2000 emailů. Pokud těchto 2000 emailů vyřadí stránky http://www.nic.cz z provozu, je to smutné. Pokud vám jde o termíny, tak adresa je nefunkční prakticky každý den mezi 13,00 - 17,00 hod a pokud naběhne, je naprosto nepřípustně pomalá i v noci.

Vazeny pane,
pokud chcete, aby se nekdo zabyval vazne timto konkretnim problelem, chybi mi u Vaseho prispevku hlavicky prislusnych e-mailu.

Pokud vim, neexistuje nic, co se tyce "apriory blokovani free serveru" (umyslne jsem to prepsal i s chybou). Pokud vim, system blokuje servery ne proto, ze jsou vyuzivany hromadymi registratory (koneckoncu podotykam, ze hromadni registratori vyuzivaji vlastni MTA), ale proto, ze z uvedenych MTA je na systemy CZ.NICu veden utok.

Pokud se tyce "dne nespadnuti", milerad uvitam konkretni data a casy, nad kterymi bude CZ.NIC schopen s dodavatelem diskutovat.

Myslim, ze v textu je presne popsano, kde je problem.

Udělal jsem to samé co vy. Jen s tím rozdílem, že mi 1.3.2002 večer po odeslání žádosti také nepřišlo nic. Tak jsem po hodině odeslal druhou a po další hodině ještě dvě. Tedy cirka během 3 hodin 4 žádosti. Když jsem po další hodině odeslal ze stejné adresy další žádost, přišla mi odpověď že jsem se dopustil DOS útoku a ře je email blokován. Zarehistroval jsem si tedy email - zcela nový - pro změnu na free webu. Odeslal jsem žádost. Jedinou, z nově založeného emailu. Opět mi přišla odpověď, že jsem se dopustil DOS útoku. Pokud jsou tedy administrátorem správce národní domény apriory blokovány free servery, dopouští se zrejmě porušení Zákona o hospodářské soutěži a Listiny základních lidských práv a svobod. Pokud chce nyní někdo argumentovat, že k těmto blokacím dochází proto, že jsou free weby používány hromadnými registrátory, dovolím si podotknout, že by to byla stejná argumentace, jako kdyby se dva příslušníci některé rasy nebo etnika poprali v restauraci a následně by její majitel zakázal vstup všem. Dopustil by se trestného činu. K tomu, jak kvalitně má správce národní domény spravovány servery se nebudu vyjadřovat, není dne, kdy by stránky CZ-NICu nespadly nebo fungovali pomalu. Pokud chce někdo tvrdit, že jsou pády způsobeny DOS útoky, mohu se jen usmát-proti tomu je snadná ochrana. Je smutné, že při příjmech, které správce národní domény má, není schopen zajistit technický chod svých serverů a není schopen zajistit, aby se o ně staralo dostatek fundovaných lidí. Servery velkých portálů vydrží stovky tisíc denních přístupů, server správce národní domény nikoli. Je to smutná vizitka. Ve vedení CZ-NIC jsou pravděpodobně seriozní a korektní lidé, ale je třeba si uvědomit, že korektní a seriozní přístup nemůže vyvážit stávající tristní stav sechniky a legislativy správce národní domény.

A tohle?? Jiz druhy den mi nejde zaslat do NICu jakykoliv majl a to jak z mych placenych tak free uctu a opet ani na auto-reg@nic.cz ci jen info@nic.cz kontakt@nic.cz apod. Diky za jakykoliv komentar.. do nicu jsem jeste nevolal, ackoliv vzhledem k tomu ze to nefunguje z zadneho serveru asi bude chyba na jejich strane.. zminku o dos utoku asi 2 dny brat vazne nebudu ..?


The original message was received at Sat, 9 Mar 2002 01:13:29 +0100 (MET)
from p081.as-l006.contactel.cz [212.65.199.81]

----- The following addresses had permanent fatal errors -----
<auto-reg@nic.cz>
(reason: 550 5.0.0 Relay blocked for DoS mail attack)

----- Transcript of session follows -----
... while talking to dc1.eunet.cz.:
>>> MAIL From:<cokoliv@jakykolivmujmejl.cz>
<<< 550 5.0.0 Relay blocked for DoS mail attack
554 5.0.0 <auto-reg@nic.cz>... Service unavailable

Jestlize mate radek potvrzujici prijeti zpravy na protistrane vcetne identifikacniho cisla, pak prinejmensim muzete zadat o vysvetleni proc nemate zadnou odpoved.

V onech zpravach je radek automatickeho zpracovani - takze pokud zpravy ulozite do jednoho souboru, pak "grep"em lehce vytahate jen tyto radky - a pak uz se to zpracovava velice dobre (kdyby nic jineho, tak to naimportujete napriklad do Excelu) - mimochodem, v techto radcich byly var. symboly spravne i tam, kde v textu byly spatne. Presne kvuli tomu jsem hodne nalehal aby v kazde automaticky generovane zprave takovato automaticky zpracovatelna radka byla ...

Log naseho sendmailu sice udava uspesne odeslani zpravy, osobne se vsak domnivam ze pokud domenu ziska nekdo jiny, asi by se to muselo resit pres soudy. Dle meho nazoru je pak vypis z nejakeho meho logu pouze tvrzeni proti tvrzeni. Po pravde receno nez se dohadovat s CZ-NICem s velmi nejistym vysledkem, to se mi opravdu nevyplati. Navic krome oskar.cz neznam pripad kdy by se soudne zablokovala domena. Byt majitelem ktery domenu dostal a pak ztratil (a de facto za to nemuze), taky bych pak rval. Hold se stalo a nechavam tak byt (treba jeste neni ztraceno), CZ-NIC se zajiste pro priste polepsi :-)

Co se tyce variabilnich symbolu, take jsem se vsim asi dve hodiny prehraboval :-) CZ-NIC to neulehcil ani tim, ze vsechny zalohovky nejdrive rozeslal se stejnym (spatnym) variabilnim symbolem, pak si to uvedomil a vsechno rozeslal znovu s tim spravnym. Bohuzel to jelo jaksi paralelne a nektere uz prisly spravne, neco stejne 2x, ale to jiste take vite. Kazdopadne pri mem pohledu 2.3. do mailboxu to byla fakt sila :-)

O odeslanem dopisu byste mel mit nejake potvrzeni - v podstate potrebujete radku, kterou prijimaci sendmail odpovedel na konec faze "DATA". Zalezi cim jste dopis odesilal - pokud sendmailem, mel by tento udaj byt v jeho LOGu, pokdu necim jinym je samozrejme otazka, zda takovy udaj mate. Nicmene, pokud ho mate, melo by to byt reklamovatelne.

To druhe je skutecne urcity problem (ono se, zrejme, nepocitalo, ze nekdo bude na tutez domenu podavat dve zadosti). Ja na tohle take v praxi narazil a zjistili jsme, ze variabilni symboly jsou vydavany sekvencne - takze je treba vzit ten nejnizsi. Samozrejme souhlasim, ze by uzivatel nemel byt nucen k podobnym uvaham a pokusum, melo by to byt jasne i bez nich.

Bohužel mám stejné zkušenosti-na speciální žádosti odeslané ihned po 9h (vcetne) 1.3.2002 prostě žádná odpověď (potvrzení) nepřišla a ani e-mail se nevrátil. Dle mého názoru ho prostě "ztopil" automat CZ-NIC a basta. Nejvíc mě na tom štve to, že jsem se na to pečlivě připravoval 2 týdny dopředu, seřizoval hodiny na sekundu přesně abych byl první kdo v nadcházející řeži podá spec. žádost na atraktivní domény. Chápu že v 9.00 to byl na straně CZ-NIC po technické stránce záhul, tak jsem čekal několik hodin jestli dostanu potvrzení, nebo zda-li se e-maily alespoň vrátí. Nic takového se bohužel do dnešního dne nestalo a tak jsem podal žádosti znovu až po několika hodinách. To už ale patrně s křížkem po funusu, protože v mezičase už klidně mohl někdo speciální žádost podat s prstem v nose poté, co se do růžova vyspal.

Další věc která mě nemile překvapila je naprostá nepřehlednost zálohových faktur na základě spec. žádosti. Pokud jsem totiž na jedno doménové jméno podal současně žádost vícekrát (z výše uvedeného důvodu), zálohová faktura sice uvádí název domény za kterou se platí, nikoli však již pořadové číslo žádosti. E-maily s potvrzením přicházejí navíc v různém pořadí nehledě na pořadové číslo. Ze zálohovky tam nemám šanci vyčíst, která z nich se vztahuje k dříve podané žádosti.

Na druhou stranu článek nemá lže v tom, že by na www.nic.cz nic nebylo, devátou hodinu avizoval CZ-NIC téměř měsíc předem. Ani s MIME bych se moc neoháněl, nevím jestli teď to na www.nic.cz není uvedeno, ale ještě na starých stránkách před rokem 1999 kdy byly domény zdarma a všechno šlo do databáze RIPE to tam zcela jistě někde bylo. To je jako s česky psanými e-maily, kde berete záruku že to všichni přečtou? Na světě je přece více systémů než Windows s Outlookem! Zvláště v tak kritické věci jako je registrace domény to odesílatele mohlo napadnout...

Připouštím, že jsem tento údaj přehlédl. Je poněkud malým písmem :(

Každopádně myslím, že se to dalo poslat třeba do forum-l.

Na podanou specialni žádost, kterou jsem zaslal ihned jak to šlo tj. v pátek 1.3.02 9:00, sice došla výzva k platbě, ale až večer v 21:00 a to navíc obsahující špatný VS, oprava dorazila sice v 21:05, ale uznejte sami, že platbu za doménu, která propadala následující den v sobotu 2.3.02 těžko v pátek večer uhradím a splním tím podmínku registrace spec. žádosti.
Má žádost byla vyhodnocena samozřejmě jako špatná a doména propadla. Vzledem k tomu, že jsem se na tuto variantu připravil jsem jí naštěstí "odchytil" zavčasu.
Z toho vyplývá, že přechod na nový systém nebyl promyšlen do detailů.

Na podanou specialni zadost se Vam mela vratit zprava Protokol registrace specialni zadosti s oznamenim ze Vase zadost byla (ci nebyla) prijata. Po prijeti zadosti nasleduje Vyzva k uhrade na elektronickou adresu platce. Prave v teto vyzve je uveden var. symbol, ktery potrebujete pri prohledavani.

K druhe casti - neuvadite konkretni nazev domeny. Ale - 5. 3. je den, kdy by doslo ke zruseni domeny pro neuhrazeni drzitelem uvedenym v databazi. Je to den, kdy konci splatnost 2. upominky a take splatnost pro specialni zadosti podane na domenu. Proto je take tento den dnem zpracovani a vyhodnoceni podanych spec.zadosti.

taky jsem to nejdříve neviděl a podal jsem si speciální žádost před termínem. Obratem mi přišla odpověď - service is closed. OK, našel jsem to tam a poslal jsem žádost znovu v pátek po deváté. Odpověď nepřišla žádná.

Tak jsem začal zjišťovat, jestli tam (na NICu) někde něco neuvidím. Mohu si zjistit stav speciální žádosti. Fajn, ale potřebuju k tomu jakýsi variabilní symbol, který jsem nedostal. Tak, a ještě se mohu podívat na "zpracované speciální žádosti". Tam se dozvím, že 5.3. budou speciální žádosti zpracovány. Proč 5.3.? A není dnes náhodou 5.3.? Co se bude dneska dít? Kdy? A nemůže mi o tom přijít nějaký vysvětlující e-mail tehdy, když pošlu speciální žádost?

Trochu víc informací o tom všem by jistě neuškodilo.

Autor patrně nemá přesné informace týkající se speciálních žádostí, resp. termínu, od kterého je možné tyto žádosti podávat. CZ.NIC informoval už 5.2.2002, že speciální žádosti budou přijímány 1.3.2002 od 9 hodin (viz www.nic.cz - rubrika Novinky - harmonogram postupu zavádění pravidel).