[Discuss] DNS-Amplification Attack Security Patch
Markus Kittenberger
(spam-protected)
Fr Jun 15 14:06:17 CEST 2012
2012/6/15 Gregor Glashüttner <(spam-protected)>
> Am 2012-06-14 15:15, schrieb Markus Kittenberger:
>
> > *--all-servers*
>
>> > By default, when dnsmasq has more than one upstream server
>> > available, it will send queries to just one server. Setting this
>> > flag forces dnsmasq to send all queries to all available servers.
>> > The reply from the server which answers first will be returned to
>> > the original requester.
>> >
>> > Setze "all-servers" nicht, und er sendet nur einen Request.
>> ...
>>
>> hmmm.... bedenklich...
>>
>> @joe:
>> wird der parameter in openwrt defaultmässig gesetzt?
>> if yes, warum?
>>
> if yes, dann wohl weil es (zumindest oft) besser so ist,..
>
> zumindest in nem lossy network.
>
> Wenn beide konfigurierten DNS-Server (wie vermutlich meistens) am selben
> Ende des lossy networks (nämlich bei uns im Housing) sitzen sehe ich den
> Vorteil nicht klar...
>
doch!
der vorteil ist schlichtweg dass es mehrere server (und mehrere requests)
sind,..
und die chance höher dass zumindest einer der requests + answers duchkommt,.
lg Markus
p.s.:
Also Ich sag jedoch keineswegs dass es der klügste ansatz ist dns resolve
problemen/latenzen so aus den weg zu gehen,..
Ich hab mir z.b. mal vor jahren als ich noch nen dummen windows client#1
und eben auch noch 2.4ghz links hatte, den tcp-enalbed dns-server
aufgesetzt.
Besser wäre aber ein dnsmasq welcher auf lossy networks abgestimmt ist, und
im idealfall retry anzahl und intervall an die topologie anpasst, aber
weiterhin normale udp requests verwendet,..
<zynic>
aber unterm strich ist dnsmasq mit all-servers=yes und z.b. 3 dns-server am
router eintragen wohl besser, als versteh nit fürwas es gut ist, schalt ma
es ab, oder trag ma nur einen dns-server ein, oder lass ma den dnsmasq
gleich ganz weg,..
</zynic>
#1 und kA ob windows inzwischen intelligenter bzgl. negative dns caching
geworden ist.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120615/8e2e71f5/attachment.htm>
Mehr Informationen über die Mailingliste Discuss