The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает DNS (FreeBSD 7.0 bind9)"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от varss (ok) on 11-Мрт-09, 23:59 
Здравствуйте! Воюю весь вечер, не могу понять. Прошу помощи.
На сервере:
# nslookup ya.ru xxx.xxx.xxx.xxx
Server:        xxx.xxx.xxx.xxx
Address:    xxx.xxx.xxx.xxx#53

Non-authoritative answer:
Name:    ya.ru
Address: 213.180.204.8

На клиенте:
nslookup ya.ru xxx.xxx.xxx.xxx
Server:        xxx.xxx.xxx.xxx
Address:    xxx.xxx.xxx.xxx#53

** server can't find ya.ru: REFUSED

xxx.xxx.xxx.xxx - IP моего сервера

Изначально всё работало. Потом немного поигрался с зонами и привет. Вернул как было - результат тот же. Как это лечить? Подскажите, люди добрые!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от angra (ok) on 12-Мрт-09, 00:23 
читай про allow-recursion в доке bind
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от varss (??) on 12-Мрт-09, 08:45 
>читай про allow-recursion в доке bind

ЧЕЛОВЕЧИЩЕ!!!!! БОЛЬШОЕ СПАСИБО!!!! Добавил строчки:
     allow-recursion { any; };
     allow-query { any; };
     allow-query-cache { any; };
и всё заработало :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 12-Мрт-09, 09:16 
>>читай про allow-recursion в доке bind

добавлю - читай внимательно и думай много!
>ЧЕЛОВЕЧИЩЕ!!!!! БОЛЬШОЕ СПАСИБО!!!! Добавил строчки:
>     allow-recursion { any; };
>     allow-query { any; };
>     allow-query-cache { any; };

"any" тут очень зря!!!

>и всё заработало :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Vitaly_loki (ok) on 12-Мрт-09, 10:47 
>ЧЕЛОВЕЧИЩЕ!!!!! БОЛЬШОЕ СПАСИБО!!!! Добавил строчки:
>     allow-recursion { any; };

Тогда уж сразу полный доступ к серваку открывай для всех... чего мелочиться то :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от angra (ok) on 12-Мрт-09, 12:39 
Первый шаг верный. Разрешили всем и проверили, что проблема была в этом. Теперь надо сделать второй шаг - максимально ограничить рекурсию. Вместо any в allow-recursion поставьте список сетей для которых разрешаем рекурсию. allow-query трогать не надо, этот параметр отвечает за отдачу своих зон миру, так что any там вполне подходит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 09:17 
IMHO, ничего страшного в обработке чужих рекурсивных запросов нет. Люди редко этим злоупотребляют, а самому может иногда пригодиться. А тем, кто наглеет, при желании можно устроить массу сюрпризов.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от PavelR (??) on 13-Мрт-09, 09:28 
>IMHO, ничего страшного в обработке чужих рекурсивных запросов нет. Люди редко этим
>злоупотребляют, а самому может иногда пригодиться. А тем, кто наглеет, при
>желании можно устроить массу сюрпризов.

Также раньше говорили про открытые релеи.


ССЗБ.

http://isc.sans.org/diary.html?storyid=5713

google://"query (cache) './NS/IN' denied"

и т д.

надеюсь, поймете принцип.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 09:31 
>[оверквотинг удален]
>
>ССЗБ.
>
>http://isc.sans.org/diary.html?storyid=5713
>
>google://"query (cache) './NS/IN' denied"
>
>и т д.
>
>надеюсь, поймете принцип.

также человек видо никогда не слышал про отравление кеша и прочие прелести ДНС

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 10:11 
Я говорил про клиентов, которые используют ваш сервер для обычных нужд, но без вашего разрешения. А с атаками можно бороться другими методами.
Связи с релеями вообще не вижу.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 10:41 
>Я говорил про клиентов, которые используют ваш сервер для обычных нужд, но
>без вашего разрешения. А с атаками можно бороться другими методами.
>Связи с релеями вообще не вижу.

товарисч! зачем открывать а потом боротся когда можно стандартно обезопасится стандартными же средствами и жить спокойно? вообще я много видел таких мега админов, у которых принцип по жизни: както настроил, както работае ну и фиг с ним. ничего хорошего из этого никогда не выходило. так что не надо давать тут бредовых советотов типо ниче страшного, пусть пользуют - ибо вы пропагандируете долпаепство и ничего более. надо всегда разбиратся досконально и делать все по уму..
а по поводу атак - гораздо легче осуществить отравление кеша в случае открытой рекурсии.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 11:05 
>а по поводу атак - гораздо легче осуществить отравление кеша в случае открытой рекурсии

Чем же это проще?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 11:29 
>>а по поводу атак - гораздо легче осуществить отравление кеша в случае открытой рекурсии
>
>Чем же это проще?

тем что атакующий знает что запрашивает и как следствие откуда придет ответ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 11:40 
И что вам это даст, если вы не знаете значение ID в заголовке запроса сервера, обрабатывающего рекурсивный запрос злоумышленника? А это 16 бит. Надеетесь угадать их?
С другой стороны, если у вас есть возможность читать трафик, то и отключенная рекурсия не спасет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 13:00 
>И что вам это даст, если вы не знаете значение ID в
>заголовке запроса сервера, обрабатывающего рекурсивный запрос злоумышленника? А это 16 бит.
>Надеетесь угадать их?
>С другой стороны, если у вас есть возможность читать трафик, то и
>отключенная рекурсия не спасет.

1) интресно откуда берутся эти способы и более того кемто удачно осуществляются?
В любом случае правило всегда одно и для всех (для всех здраво мыслящих) - если нет необходимости в сервисе, его следует отключить или ограничить по возможности.
2) изначально вопрос был не в этом - вам хочется раздуть флейм? вам нечем занятся?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 14:26 
>вам хочется раздуть флейм?
>вам нечем занятся?

Много приходится работать с DNS, и иметь под рукой еще один сервер, способный помочь в отладке, обработав рекусрсивный запрос, бывает очень удобно. Иногда знакомым даю попользоваться, когда у них проблемы с собственным сервером. Не исключено, что я все делаю неправильно, так вы объясните, приведите аргументы. Пока что, у вас это не очень получается.

А вот вам лично хочу порекомендовать не хамить незнакомым мужчинам.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 15:57 
>>вам хочется раздуть флейм?
>>вам нечем занятся?
>
>Много приходится работать с DNS, и иметь под рукой еще один сервер,
>способный помочь в отладке, обработав рекусрсивный запрос, бывает очень удобно. Иногда
>знакомым даю попользоваться, когда у них проблемы с собственным сервером. Не
>исключено, что я все делаю неправильно, так вы объясните, приведите аргументы.
>Пока что, у вас это не очень получается.
>
>А вот вам лично хочу порекомендовать не хамить незнакомым мужчинам.

много работаете с ДНС? что с ним работать? - достаточно один раз разобраться - практически все делается шаблонно. исключение составляют случаи хитрого резолва с использованием видов - но и там все прозрачно, ну и пожалуй шифрованный трансфер зон - но его практически никто не юзает.
по поводу правильности - еще раз повторяю, если вы не пров с бесплатным неограниченным каналом то оставлять днс открытым - это бред: если вы знаете что такое рекурсивный запрос (по крайней мере вы делаете вид что знаете), то вы должны понимать то, что один запрос клиента (рекурсивный) скажем для  домена второго уровня - генерит как минимум три запроса на другие сервере - те трафик клиента умножается на 3 МИНИМУМ и идет вам. что имеем - имеем необоснованное попадалово на трафе, нагрузке канали и все из этого вытекающие.
также умные люди могут подцепить вам почтовик на сервак чтобы он проверял реверсы - видели когданибудь количество запросов реверсов с почторя скажем в 1000 ящиков?
ну и на последок - вашим серваком могут пользоваться добрые спамеры, что они собственно и делают, отыскивая серваки и юзая их - думаю вы представляете объем спама и соотв количество запросов на ДНС.

если вам хочется продолжать этот тупой флейм - то для начала приведите хотябы одну разумную причину оставлять сервак открытым, ибо я вам противоположных привел кучу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 18:17 
>умные люди могут подцепить вам почтовик на сервак чтобы он проверял реверсы

Вот это будет настоящая дыра в безопасности. Но не в моей, а дыра в безопасности этих "умных" людей. То есть, они откроют бескрайнее поле для фантазий, и только моя врожденная порядочность (вы, ведь, в нее верите, да?) будет являться залогом их спокойствия.

>вашим серваком могут пользоваться добрые спамеры, что они собственно и делают

А вот логи (кстати, в BIND чрезвычайно мощная система ведения логов) говорят, что никто мой DNS-сервер кроме тех, кому положено, не использует, хотя на нем включена рекурсия. И я именно с этого и начал разговор. Потому не стоило высмеивать человека, открывшего рекурсию, с тем же энтузиазмом и ехидством, с каким бы вы издевались над админом, открывшим релей или установившим на ssh пароль qwerty, особенно, если вы сами не очень понимаете последствия.

>много работаете с ДНС? что с ним работать?

Приходится, знаете ли. Такая профессия.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 18:51 
>если вам хочется продолжать этот тупой флейм - то для начала приведите хотябы одну >разумную причину оставлять сервак открытым, ибо я вам противоположных привел кучу.

как насчет этого? )
говори по делу а не лей воду

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 19:22 
>>если вам хочется продолжать этот тупой флейм - то для начала приведите хотябы одну >разумную причину оставлять сервак открытым, ибо я вам противоположных привел кучу.

Ваша куча дурно пахнет, вы предложили доверить незнакомой стороне разрешение обратной зоны. А значит, все ваши службы, использующие этот механизм, могут быть скомпрометированы. Для начала, под удар попадает сама почта. Может быть, это действительно ваш директор вас уволил, а может, это я так пошутил, пребывая в приподнятом настроении после чтения ваших постов.

Я вам привел причину - мне иногда это бывает удобно.

С другой стороны, я не услышал от вас ни о какой реальной опасности. Не на уровне абстрактных измышлений, а о конкретной технической опасности. Вкупе с анализом логов и автоматически устанавливаемых правил фаервола, меня это не побуждает отказаться от удобства.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(ok) on 13-Мрт-09, 19:32 
>>>если вам хочется продолжать этот тупой флейм - то для начала приведите хотябы одну >разумную причину оставлять сервак открытым, ибо я вам противоположных привел кучу.

Весенне обострение в разгаре!
>Ваша куча дурно пахнет, вы предложили доверить незнакомой стороне разрешение обратной зоны.

Это не я доверил, это меня с открытым серваком поимели на трафик.
>А значит, все ваши службы, использующие этот механизм, могут быть скомпрометированы.
>Для начала, под удар попадает сама почта. Может быть, это действительно
>ваш директор вас уволил, а может, это я так пошутил, пребывая
>в приподнятом настроении после чтения ваших постов.

это мой пример - он был приведел в диаметрально противоположном контексте
но уж если вам так хочется - то какии в жопу компрометации сервисов когда вас за ночь поимеют на пару гиг трафа?

>Я вам привел причину - мне иногда это бывает удобно.

вы мне привели следствие мой причины - не к месту и не в тему

>С другой стороны, я не услышал от вас ни о какой реальной
>опасности. Не на уровне абстрактных измышлений, а о конкретной технической опасности.

для особо одаренных я еще раз повторю - первая и главная опасность это ПОПАДАЛОВА НА ТРАФИК - постарайтесь запомнить уже
>Вкупе с анализом логов и автоматически устанавливаемых правил фаервола, меня это
>не побуждает отказаться от удобства.

плять родой - ты хоть раз видел квери лог днс сервака который резолвит 1000-2000 рекурсивных запросов В СЕКУНДУ? и его размер скажем за сутки? Я этот лог включаю только анализа атак и при прочих глюках.
Проанализировать лог за пару часов у тебя уйдет пара дней.

вообще странный подход к обсуждению - обсуждать вопрос не потеме при этом переворачивая ответы своих опонентов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 20:07 
Мне становится тяжело вас понимать, к тому же вы опять перестали следить за лексиконом.

>для особо одаренных я еще раз повторю - первая и главная опасность
>это ПОПАДАЛОВА НА ТРАФИК - постарайтесь запомнить уже

А вы, в свою очередь, постарайтесь понять, что в случае, если мне на 53 порт извне станет приходить масса докучающих пакеты, то через очень короткое время они начнут дропиться фаерволом.

>ты хоть раз видел квери лог днс сервака который
>резолвит 1000-2000 рекурсивных запросов В СЕКУНДУ? и его размер скажем за
>сутки?

Про логи позже отпишусь, сейчас не до сук.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 14-Мрт-09, 00:01 
>это ПОПАДАЛОВА НА ТРАФИК - постарайтесь запомнить уже

Я уже приводил листинг netstat'а, который показывает, что отключение рекурсии не решает проблемы трафика. Вы его не видели или не поняли?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 14-Мрт-09, 00:04 
Извините, ошибся. Не netstat'а, nslookup'а.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от PavelR (??) on 14-Мрт-09, 00:31 
>Извините, ошибся. Не netstat'а, nslookup'а.

Не рекурсией единой...


Сервер не должен отвечать на подобные запросы.

Т.е. не должен отвечать на запрос, если он не является держателем зоны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 14-Мрт-09, 01:05 
>Сервер не должен отвечать на подобные запросы.
>
>Т.е. не должен отвечать на запрос, если он не является держателем зоны.

Мне кажется, вы ошибаетесь. Это был вывод nslookupa при таких настройках bind
options {
    recursion no;
    fetch-glue no;
};
Обратите внимание, что и рекурсия отключена, и стоит запрет на дополнительный раздел ответа. Плюс я "продул" ему кеш. Чего проще - проверьте у себя. Хотя на мой взгляд, тут все работает логично, а проблема в вашем недопонимании основ процесса.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от PavelR (??) on 14-Мрт-09, 08:20 
>[оверквотинг удален]
>Мне кажется, вы ошибаетесь. Это был вывод nslookupa при таких настройках bind
>
>options {
>    recursion no;
>    fetch-glue no;
>};
>Обратите внимание, что и рекурсия отключена, и стоит запрет на дополнительный раздел
>ответа. Плюс я "продул" ему кеш. Чего проще - проверьте у
>себя. Хотя на мой взгляд, тут все работает логично, а проблема
>в вашем недопонимании основ процесса.

ну, насчет логично - я не соглашусь. Недопонимание основ процесса.... хм, опять же, не соглашусь :) Я и не утверждал что ответ на запрос к . всегда рекурсивен.

В общем, по результатам настройки должно быть так (bind 9.5.1):

$ host -t NS . <my.srv>
Using domain server:
Name: <my.srv>
Address: <my.srv.ip>#53
Aliases:

Host . not found: 5(REFUSED)


Но бывает по-другому, рассмотрим все три случая:

$ dig . NS @<my.srv.ip>

; <<>> DiG 9.3.3 <<>> . NS @<my.srv.ip>
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 50526
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      NS

;; Query time: 61 msec
;; SERVER: <my.srv.ip>#53(<my.srv.ip>)
;; WHEN: Sat Mar 14 11:08:41 2009
;; MSG SIZE  rcvd: 17


всё ок.

---

хотя бывает так (9.3.4, внутренний тестовый сервер):

$ dig . NS @<test.srv.ip>

; <<>> DiG 9.3.3 <<>> . NS @<test.srv.ip>
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14547
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      NS

;; AUTHORITY SECTION:
.                       3600000 IN      NS      J.ROOT-SERVERS.NET.
.                       3600000 IN      NS      K.ROOT-SERVERS.NET.
.                       3600000 IN      NS      L.ROOT-SERVERS.NET.
.                       3600000 IN      NS      M.ROOT-SERVERS.NET.
.                       3600000 IN      NS      A.ROOT-SERVERS.NET.
.                       3600000 IN      NS      B.ROOT-SERVERS.NET.
.                       3600000 IN      NS      C.ROOT-SERVERS.NET.
.                       3600000 IN      NS      D.ROOT-SERVERS.NET.
.                       3600000 IN      NS      E.ROOT-SERVERS.NET.
.                       3600000 IN      NS      F.ROOT-SERVERS.NET.
.                       3600000 IN      NS      G.ROOT-SERVERS.NET.
.                       3600000 IN      NS      H.ROOT-SERVERS.NET.
.                       3600000 IN      NS      I.ROOT-SERVERS.NET.

;; Query time: 75 msec
;; SERVER: <test.srv.ip>#53(<test.srv.ip>)
;; WHEN: Sat Mar 14 11:12:20 2009
;; MSG SIZE  rcvd: 228

--


в худшем варианте это (bind 9.3.3, обновить его чтоли :):

$ dig . NS @my.badsrv.ip

; <<>> DiG 9.3.3 <<>> . NS @my.badsrv.ip
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17138
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14

;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       518400  IN      NS      A.ROOT-SERVERS.NET.
.                       518400  IN      NS      B.ROOT-SERVERS.NET.
.                       518400  IN      NS      C.ROOT-SERVERS.NET.
.                       518400  IN      NS      D.ROOT-SERVERS.NET.
.                       518400  IN      NS      E.ROOT-SERVERS.NET.
.                       518400  IN      NS      F.ROOT-SERVERS.NET.
.                       518400  IN      NS      G.ROOT-SERVERS.NET.
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
.                       518400  IN      NS      L.ROOT-SERVERS.NET.
.                       518400  IN      NS      M.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET.     231237  IN      A       198.41.0.4
A.ROOT-SERVERS.NET.     231237  IN      AAAA    2001:503:ba3e::2:30
B.ROOT-SERVERS.NET.     231237  IN      A       192.228.79.201
C.ROOT-SERVERS.NET.     231237  IN      A       192.33.4.12
D.ROOT-SERVERS.NET.     231237  IN      A       128.8.10.90
E.ROOT-SERVERS.NET.     231237  IN      A       192.203.230.10
F.ROOT-SERVERS.NET.     231237  IN      A       192.5.5.241
F.ROOT-SERVERS.NET.     231237  IN      AAAA    2001:500:2f::f
G.ROOT-SERVERS.NET.     231237  IN      A       192.112.36.4
H.ROOT-SERVERS.NET.     231237  IN      A       128.63.2.53
H.ROOT-SERVERS.NET.     231237  IN      AAAA    2001:500:1::803f:235
I.ROOT-SERVERS.NET.     231237  IN      A       192.36.148.17
J.ROOT-SERVERS.NET.     231237  IN      A       192.58.128.30
J.ROOT-SERVERS.NET.     231237  IN      AAAA    2001:503:c27::2:30

;; Query time: 228 msec
;; SERVER: my.badsrv.ip#53(my.badsrv.ip)
;; WHEN: Sat Mar 14 11:09:36 2009
;; MSG SIZE  rcvd: 500


---

размер запроса: 45 байт, размеры ответов: 17, 228, 500 байт в каждом из случаев соответственно. (усиление входящего DOS траффика в 5 и 11 раз в случае некорректной настройки)

Want to be DDOS amplifier ? ... you are welcome :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от Pahanivo email(??) on 14-Мрт-09, 08:33 
cirus неадекватен, продолжать глупо


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от PavelR (??) on 14-Мрт-09, 09:41 
>cirus неадекватен, продолжать глупо

По моему вопросу в https://www.opennet.ru/openforum/vsluhforumID1/84484.html чтонть можно подсказать ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 14-Мрт-09, 09:56 
>Я и не утверждал что ответ на
>запрос к . всегда рекурсивен.

Не понял, что именно вы имеете в виду, флаг RD в заголовке запроса был снят, и версия bind - 9.4.3 Общий принцип мне видится так - есть у сервера запрашиваемая инфа, он ее отдает. При этом не имеет значения был ли запрос на рекурсию или нет. Я ранее немного схитрил, указав fetch-glue для bind9, который никогда не ищет "связующие" данные самостоятельно. Эта настройка была актуальна для bind8. Попробуйте, например, запросить данные, которые имеются в кеше при выключенной рекурсии.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 14-Мрт-09, 10:06 
Поясню. Если вы нерекурсивно запросите RR-записи по зоне ru. (которые наверняка имеются в вашем кеше), то получите и список NS-серверов (хотя ваш сервер не обладает по ним авторитетом), и адресные записи этих серверов, хотя серверу и запрещено их искать. Но "не искать", не означает "не отдавать".


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от angra (ok) on 13-Мрт-09, 19:05 
>А вот логи (кстати, в BIND чрезвычайно мощная система ведения логов) говорят,
>что никто мой DNS-сервер кроме тех, кому положено, не использует, хотя
>на нем включена рекурсия. И я именно с этого и начал

Это называется "принцип неуловимого Джо". По моему опыту как минимум треть сайтов на пыхе дырява, но ломают значительно меньшее количество и все по тому же принципу. Так что если вас еще не трахнули, то это не повод выставлять в инет голый зад и уж тем более не повод советовать подобные глупости другим.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 10:21 
>надеюсь, поймете принцип.

Не понял, какое отношение это имеет к рекурсии?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от PavelR (??) on 13-Мрт-09, 11:15 
>>надеюсь, поймете принцип.
>
>Не понял, какое отношение это имеет к рекурсии?

тем, что можно послать фейковый запрос, на который пойдет достаточно большой по объему ответ.
т.о. ваш днс сервер будет использован как "усилитель" для проведения DDOS атаки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 11:25 
А разве с нерекурсивным запросом будет как-то иначе?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от PavelR (??) on 13-Мрт-09, 11:28 
>А разве с нерекурсивным запросом будет как-то иначе?

он будет отдавать только записи для своих зон, ответы по идее будут иметь меньший размер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от cirus on 13-Мрт-09, 11:34 
Set options:
  novc                  nodebug         nod2
  search                norecurse
  timeout = 0           retry = 3       port = 53
  querytype = ns        class = IN
  srchlist =
> .

Server:         192.168.5.33
Address:        192.168.5.33#53

Non-authoritative answer:
.       nameserver = G.ROOT-SERVERS.NET.
.       nameserver = F.ROOT-SERVERS.NET.
.       nameserver = K.ROOT-SERVERS.NET.
.       nameserver = A.ROOT-SERVERS.NET.
.       nameserver = J.ROOT-SERVERS.NET.
.       nameserver = B.ROOT-SERVERS.NET.
.       nameserver = D.ROOT-SERVERS.NET.
.       nameserver = I.ROOT-SERVERS.NET.
.       nameserver = C.ROOT-SERVERS.NET.
.       nameserver = M.ROOT-SERVERS.NET.
.       nameserver = L.ROOT-SERVERS.NET.
.       nameserver = H.ROOT-SERVERS.NET.
.       nameserver = E.ROOT-SERVERS.NET.

Authoritative answers can be found from:
J.ROOT-SERVERS.NET      internet address = 192.58.128.30
J.ROOT-SERVERS.NET      has AAAA address 2001:503:c27::2:30
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает DNS (FreeBSD 7.0 bind9)"  
Сообщение от varss (??) on 13-Мрт-09, 08:52 
Большое спасибо за ответы. Намотал на ус и всё поправил.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру