[Discuss] DNS-Amplification Attack Security Patch

Adi Kriegisch (spam-protected)
Do Jun 14 11:27:18 CEST 2012


Hallo!

>    dnsmasq - A lightweight DHCP and caching DNS server.
[SNIP]
>>  DNSMasq is just a DNS forwarder "Dnsmasq is targeted at home networks using
>>  NAT"
[SNAP]
>>  Sind wir doch nicht? Ich nehm an, der ist wegen seinen dhcp faehigkeiten da
> 
>    Zum Teil schon. Ausserdem ist er in den OpenWRT-Images genauso drinnen.
Nein, sind wir nicht. Und ob der in OpenWRT drinnen ist oder nicht, ist
genau vollkommen uninteressant, weil OpenWRT auf eben die erwähnten
Heimnetze abgestimmt ist. (Das ist genau das gleiche Problem mit zB dem
QoS-Package)

>>  noch drauf (oder einfach weil das mal home router waren). Koennen wir nicht
>>  eh ganz auf den verzichten?
> 
>    Warum sollten wir? Richtig konfiguriert hat er mehr Vorteile als
>    Nachteile.
Die da wären? Ich seh nur einen Vorteil: einfachere Imageerzeugung, weil so
niemand was nachinstallieren muß um einen DHCP-Server zu bekommen.
Sonst eher Nachteile:
- schickt parallele Requests an _alle_ eingestellten DNS-Server
- bietet -- wie wir alle sehen konnten -- eine nicht unwesentliche
  Angriffsfläche
- Hat eine "kaputte" Konfiguration. "Richtig" konfigurieren geht über GUI
  im Moment garnicht.
  (Und wenn wir wollen, daß die Konfiguration der Router "einfach" und "wie
  von selbst" geht, müssten wir endlich anfangen, richtige Zonennamen zu
  propagieren an Stelle von air0 und wan. So wird das mit dem dnsmasq nur
  ein Knieschuß)

Abgesehen davon kann jeder dieser Router auch ganz einfach andere
DNS-Server als dnsmasq auf localhost verwenden, indem man sie einfach in
/etc/resolv.conf einträg.
Auch jeder Rechner hinter einem NAT-Gateway kann andere DNS-Server
verwenden, wenn sie ihm der DHCP-Server liefert.

lg Adi

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120614/c695c17b/attachment.sig>


Mehr Informationen über die Mailingliste Discuss