[Wien] Re: ** PROBLEM alert - sandwich (Service-Server)/DNSZONE_158.238.193.in-addr.arpa is WARNING **

Bernd Petrovitsch (spam-protected)
Fr Jun 23 12:11:58 CEST 2006


On Fri, 2006-06-23 at 11:29 +0200, Wolfgang Nagele wrote:
[...]
> > Die Frage ist, ob eine rekursive DNS-Anfrage, die von so einer
> > IP-Adresse herkommt, auch behandelte werden soll. Wenn nicht, dann
> > lassen wird sie weg.
> Rekursiv heisst CNAMEs auflösen, oder? Wenn ja - denk ich brauchen wir

Ja, auch.
Hostname-Resolving geht grob vereinfacht so (ohne CNAMEs):
*) IP-Addr im Cache schon vorhanden:
- client: "sandwich, löse mir Name www.example.com auf"
- sandwich: "ich hab www.example.com im Cache, IP ist 1.2.3.4"
Fertig.
*) IP-Addr im Cache nicht vorhanden, nicht-rekursiv:
- client: "sandwich, löse mir Name www.example.com auf"
- sandwich: "ich hab www.example.com nicht, frage 2.3.4.5"
  (2.3.4.5 ist für .com zuständig)
- client: "2.3.4.5, löse mir Name www.example.com auf"
- 2.3.4.5: "ich hab www.example.com nicht, frage 3.4.5.6"
  (3.4.5.6 ist für example.com zuständig)
- client: "3.4.5.6, löse mir Name www.example.com auf"
- 3.4.5.6: "ich hab www.example.com, IP ist 1.2.3.4"
*) IP-Addr im Cache nicht vorhanden, rekursiv:
   so wie die nicht-rekursive Veriante, aber die Anfragen an 2.3.4.5 und
   3.4.5.6 macht der sandwich und gibt erst bei einem Ergebnis (positiv
   oder negativ) gibt es eine Antwort an Client.
Wobei der Client sich das rekursive auflösen wünschen kann (ob es der
Server auch tut, ist eine andere Sache;-).
Und bei CNAMEs kommt ein Textstring zurück, der wieder aufgelöst werden
will.
D.h. fürs Mesh-Netz spart das (ein wenig) Bandbreite und macht deshalb
intern Sinn (noch mehr als bei einem "normalen" LAN).
Für alle andere ASs/Netze will man das abschalten, weil sonst andere
(auch Spammer u.ä. seriöses Volk) die Bandbreite und Aufwand an den
sandwich abwerfen.
Und dann kann man offene rekursive DNS-Server gut für DDoS-Attacken auf
andere verwenden. Wie man das macht, steht z.B. in
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf.

> das. Schließlich sind das die "offiziellen" IPs unserer "User".

	Bernd
-- 
Firmix Software GmbH                   http://www.firmix.at/
mobil: +43 664 4416156                 fax: +43 1 7890849-55
          Embedded Linux Development and Services




Mehr Informationen über die Mailingliste Wien