[Discuss] DNS-Amplification Attack Security Patch

Matthias Šubik (spam-protected)
Do Jun 14 16:34:31 CEST 2012


Hallo,
On 14.06.2012, at 15:15, Markus Kittenberger wrote:

> 2012/6/14 Markus Gschwendt <(spam-protected)>
> 
>> On Thu, 2012-06-14 at 12:03 +0200, Erich N. Pekarek wrote:
>> ...
>>> Am 2012-06-14 11:27, schrieb Adi Kriegisch:
>> ...
>>>> - schickt parallele Requests an _alle_ eingestellten DNS-Server
>>> Dann stell halt nur einen ein oder konfiguriere es anders. Hier ist der
>>> Parameter:
>>> 
>>> *--all-servers*
>>>    By default, when dnsmasq has more than one upstream server
>>>    available, it will send queries to just one server. Setting this
>>>    flag forces dnsmasq to send all queries to all available servers.
>>>    The reply from the server which answers first will be returned to
>>>    the original requester.
>>> 
>>> Setze "all-servers" nicht, und er sendet nur einen Request.
>> ...
>> 
>> hmmm.... bedenklich...
>> 
>> @joe:
>> wird der parameter in openwrt defaultmässig gesetzt?
>> if yes, warum?
>> 
> if yes, dann wohl weil es (zumindest oft) besser so ist,..
> 
> zumindest in nem lossy network.
und wenn nicht, macht es in Summe die Anbindung schlecht, wenn es "default" ist.
weil 5x so viele kleine Pakete, und im Falle von Massenabfragen, z.B. weil tcpdump und p2p/whatever gleichzeitig laufen, ordentliches dns-cache-trashing.
Weil da sind dann in fünf Servern die gleichen nutzlosen PTR-Cacheeinträge drin.
Es macht ja Sinn bei lossy-network, aber nur für A/AAAA Einträge, nicht aber für PTR/MX etc., die kaum ein anderer Client braucht.

Oder sehe ich das falsch?

bG
Matthias
ps: Im Zuge des "debug" der DNS-Amp-Attacke könnte das so passiert sein. Der Cache am Kü-Berg (?) war erst recht immer leer.

---
A: Yes.
> Q: Are you sure?
>> A: Because it reverses the logical flow of conversation.
>>> Q: Why is top posting annoying in email?







Mehr Informationen über die Mailingliste Discuss