[Discuss] DNS-Amplification Attack Security Patch

[L. Aaron Kaplan]

On Jun 14, 2012, at 1:00 PM, Markus Gschwendt wrote:

> On Thu, 2012-06-14 at 12:52 +0200, L. Aaron Kaplan wrote:
>> On Jun 14, 2012, at 10:29 AM, Michael Bauer wrote:
>> 
>>> DNSMasq is just a DNS forwarder "Dnsmasq is targeted at home networks using
>>> NAT"
>>> 
>>> Sind wir doch nicht? Ich nehm an, der ist wegen seinen dhcp faehigkeiten da
>>> noch drauf (oder einfach weil das mal home router waren). Koennen wir nicht
>>> eh ganz auf den verzichten?
>>> 
>> Wir koennten einen unbound drauf lassen.
> ...
> 
> ich bin der meinung, dass nicht der dnsmasq das problem ist, sondern die
> die derzeitige default-config.


> bzw. die art der umsetzung der config im openwrt.
> 
Genau.
Wie gesagt, wenn ihr *wollt* waere unbound auch ein relativ light-weight DNS recursor. Aber dnsmasq ist auch OK fuer ganz kleine embedded boards.
Man sollte halt 2 DNS server drinnen stehen haben, nicht nur einen.

> eine option 'notinterface' sagt schon alles... ein fehlkonzept.
> es ist immer schlecht zuerst alles aufzumachen und dann das zuzusperren
> was man nicht offen haben will. das sollte genau umgekehrt sein.
> 
ACK! voll deiner Meinung.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120614/f17a7a00/attachment.sig>