1 pontos por GN⁺ 2025-03-03 | 1 comentários | Compartilhar no WhatsApp
  • Devido a uma falha nos servidores DNS do NIH.gov, PubMed, BLAST e outros ficaram inacessíveis, e o título no HN indica o status como recuperado
  • A página fornecida não é um relatório de incidente, mas sim uma tela de resultados de consulta DNS de www.nih.gov, oferecendo abas de consulta via Cloudflare, Google DNS e Authoritative
  • Os servidores DNS da Cloudflare responderam com os registros DNS do domínio e forneceram registros em cache até a expiração do TTL
  • Após a expiração do TTL, a Cloudflare consulta um dos authoritative name servers para atualizar o cache
  • O texto não contém horário da falha, causa, valores reais dos registros DNS nem informações de status individuais do PubMed e do BLAST, portanto há limitações para avaliar o alcance do incidente

Informações verificáveis sobre a falha

  • O título no HN indica que, devido a uma falha nos servidores DNS do NIH.gov, PubMed, BLAST e outros ficaram inacessíveis, e que agora o status é recuperado
  • O corpo fornecido não é um relatório de incidente, mas sim uma tela de consulta DNS para www.nih.gov
  • Apenas com o corpo do texto, não é possível confirmar as seguintes informações
    • Horário de início e recuperação da falha
    • Causa da falha
    • Lista detalhada dos serviços afetados
    • Valores reais dos registros DNS
    • Detalhes da resposta dos servidores authoritative

Estrutura da tela de consulta do Nslookup.io

  • O alvo da consulta é www.nih.gov
  • A tela oferece as seguintes fontes de consulta DNS em abas
    • Cloudflare
    • Google DNS
    • Authoritative
  • Os servidores DNS da Cloudflare responderam com registros DNS e fornecem esses registros até que o TTL expire
  • Quando o TTL expira, a Cloudflare consulta um dos authoritative name servers para atualizar o cache
  • A página também inclui uma orientação sobre o recurso de DNS lookup, que permite consultar registros DNS de outros domínios ou subdomínios

1 comentários

 
GN⁺ 2025-03-03
Opiniões no Hacker News
  • A consulta DNS parece ter voltado a funcionar: https://dnschecker.org/#A/pubmed.ncbi.nlm.nih.gov
  • Foi confirmado que esses servidores ainda respondem via TCP: https://mstdn.social/@rysiek/114089755401568345 https://lists.dns-oarc.net/pipermail/dns-operations/2025-Mar...
    O serviço está parcialmente vivo, mas não em um estado realmente útil, então é difícil julgar de fora o que exatamente está acontecendo
    • Isso quase certamente é erro de configuração de firewall. Um agente mal-intencionado provavelmente não teria fechado só o UDP
    • Por isso, parece muito mais provável que alguém tenha bagunçado um servidor ou a configuração do firewall do que Musk estar arrancando cabos de rede no NIH
    • O PubMed é um dos serviços mais estáveis da história da internet. Mesmo que a causa exata seja obscura, dá a sensação de que, quando a podridão vem de cima, ela contamina o resto
  • Para cientistas, o PubMed é praticamente um Google. Ao procurar artigos científicos, normalmente se usa o PubMed; existem alternativas, mas até agora não havia muita necessidade de conhecê-las
    Todo mundo usava o PubMed, e acho que a maioria dos cientistas europeus também não conhecia alternativas regionais até agora. As funções que o NIH oferece aos cientistas vão muito além disso
    • Eu quase não uso o PubMed; para pesquisas de neurociência, medicina e ciência da computação, uso o Google Scholar diariamente. Ainda assim, admito que todos os pesquisadores médicos que conheço usam apenas o PubMed
  • Parece que o banco de dados da FAA para rastreamento de investigações de acidentes também saiu do ar, e é bem provável que haja outros sistemas dos quais várias organizações dependem, embora o público em geral não saiba
    Se isso fosse um ciberataque da China, seria um escândalo de uma década, mas desta vez parece algo feito de propósito
  • Tecnicamente, o NIH.gov tem 3 servidores de nomes, e cada host está vivo, mas responde a DNS apenas via TCP, não via UDP
    Os três estão sob o mesmo AS, então parece uma estrutura em que um único operador é responsável, e não há IPv6. Visto de fora, também não há sinais de que servidores ou serviços tenham sido delegados a uma empresa externa
    Pesquisando mais, o NIH tem um departamento/grupo/organização chamado Center for Information Technology, que parece ser a organização de suporte de TI do NIH e a operadora desses servidores DNS
    • Talvez eu me arrependa de dizer isso depois, mas, há muito tempo, fui gerente da equipe dentro do NIH/CIT que operava aquele firewall de borda e os servidores DNS. Para ser exato, na época era NIH/CIT/DNST/NEB/NSS
      Não estou mais lá, então não tenho informações internas, mas, pelo fato de durante a falha os servidores DNS responderem em TCP e não em UDP, eu apostaria em um simples erro de firewall, e não em malícia
      Essas coisas acontecem. Manutenções geram consequências não intencionais, e pessoas cometem erros de digitação. É melhor não reagir de forma exagerada a todo incidente e guardar a energia para aquilo que realmente merece indignação, como o 18F
    • Como referência, os servidores de nomes lhcns1.nlm.nih.gov (130.14.55.72) e lhcns2.nlm.nih.gov (130.14.55.128) ainda resolvem o subdomínio nlm.nih.gov
  • Para referência, BLAST significa Basic Local Alignment Search Tool, uma ferramenta muito usada no conjunto de ferramentas de bioinformática. Você “faz um BLAST” de uma sequência enviando a sequência de consulta de interesse a outros bancos de dados de sequências para encontrar resultados semelhantes
    • Já faz um tempo que saí da área, então não sei bem quanto o BLAST é usado hoje
      Em certa época, rodar no BLAST uma sequência de DNA ou proteína que você tinha era parecido com fazer uma busca no Google por aquela sequência, porque ele indicava de onde ela poderia ter vindo
      Era especialmente útil se o tema da pesquisa fosse descobrir o que uma determinada sequência faz. Ele não dava a resposta diretamente, mas a similaridade de sequência muitas vezes sugeria funções parecidas ou relacionadas e fornecia contexto
      Como analogia, imagine o StackOverflow sair do ar de repente, sem nem saber se vai voltar
  • Alternativas europeias:
    https://europepmc.org/
    https://www.ebi.ac.uk/ena/browser/home
    https://www.ensembl.org/
    • Foi bom ver a cooperação em genômica e biotecnologia por toda a Europa. O ecossistema da Dinamarca é claramente uma referência, como uma estrela-guia
      Mas o BLAST parece estar no ar [0]
      [0] - https://blast.ncbi.nlm.nih.gov/Blast.cgi
  • É possível que o servidor DNS tenha ficado temporariamente fora do ar. Por exemplo, o NIH pode estar fazendo manutenção, mas isso não significa que o site fique inacessível
    O “unreachable” do título pode ser uma expressão figurada. Não estou tendo problemas para acessar esses sites, e posso fornecer os IPs a quem precisar
    Exemplos:
    www.nih.gov 23.41.4.71 (Akamai)
    www.nih.gov 2.22.31.155 (Akamai)
    www.nih.gov 60.254.143.7 (Akamai)
    www.nih.gov 95.101.74.96 (Akamai)
    www.nih.gov 88.221.24.17 (Akamai)
    www.nih.gov 184.51.148.226 (Akamai)
    www.nih.gov 54.235.145.223 (Amazon)
    pubmed.ncbi.nlm.nih.gov 34.107.134.59 (Google)
    blast.ncbi.nlm.nih.gov 130.14.29.110
    Exemplo de uso:
    echo 130.14.29.110 blast.ncbi.nlm.nih.gov|busybox sed -i -e 1r/dev/stdin -e1N /etc/hosts

echo 34.107.134.59 pubmed.ncbi.nlm.nih.gov|busybox sed -i -e 1/r/dev/stdin -e1N /etc/hosts

  • Mesmo no norte do estado de Nova York, o site principal do PubMed funciona bem: https://pubmed.ncbi.nlm.nih.gov/
    Páginas do NIH/NSF costumavam sair do ar periodicamente, fosse por manutenção ou por outros motivos, normalmente nos fins de semana. A reação da comunidade do HN parece um pouco precipitada. Leio o HN desde por volta de 2008, e sinto que a qualidade dos comentários já não é como antes
  • 130.14.29.110 me redireciona para https://www.ncbi.nlm.nih.gov/, mas esse site não abre
    23.41.4.71 mostra a seguinte mensagem
    "Invalid URL
    The requested URL "[no URL]", is invalid.
    Reference #9.47532217.1740935192.27b71986
    https://errors.edgesuite.net/9.47532217.1740935192.27b71986"
  • Ainda não consigo acessar o BLAST. É só colocar 130.14.29.110 no navegador?
  • Para referência, isso estava assim há pelo menos 16 horas. Tentei ler algo lá ontem à noite também, mas não funcionava
    Espero que exista um backup em algum lugar. Neste momento, acho que não sentiria culpa nenhuma em usar uma fonte não autorizada
  • Parece que alguém desligou todos os servidores DNS do NIH. No momento, os sites do NIH, PubMed e BLAST estão no ar, mas a resolução de nomes não funciona
    O resolvedor DNS 1.0.0.1 da Cloudflare ainda parece ter os registros em cache. O Google e a maioria dos outros resolvedores que testei não tinham. Então é por isso que algumas pessoas nas redes sociais dizem que conseguem acessar o site e outras não
    Solução alternativa via /etc/hosts:
    156.40.212.210 nih.gov
    96.17.96.9 www.nih.gov
    34.107.134.59 pubmed.ncbi.nlm.nih.gov
    130.14.250.10 ftp.wip.ncbi.nlm.nih.gov
    130.14.250.10 ftp.ncbi.nlm.nih.gov
    130.14.29.110 blast.ncbi.nlm.nih.gov
    Atualização:
    ns.nih.gov, ns2.nih.gov e ns3.nih.gov não respondem, mas o servidor de nomes lhcns1.nlm.nih.gov (130.14.55.72) responde
    Veja também: https://tldr.nettime.org/@ww/114089972404202687
    • Não está desligado. Dá para verificar diretamente:
      dig +tcp @$(dig +short ns.nih.gov @a.ns.gov) www.nih.gov
    • Se isso não for resolvido antes de segunda-feira, essa informação pode se tornar importante. Só espero que não seja algo intencional