[Wien] Re: ** PROBLEM alert - sandwich (Service-Server)/DNSZONE_158.238.193.in-addr.arpa is WARNING **

Bernd Petrovitsch (spam-protected)
Fr Jun 23 13:33:17 CEST 2006


On Fri, 2006-06-23 at 13:11 +0200, Andreas Marksteiner wrote:
[...]
> was kann ich aus dem Snip rauslesen?

Ich hab noch nicht geraten/interpretiert/gemutmaßt/unterstellt, um nicht
schon in irgendeine Richtung zu deuten.

>                                      Ist das irgendwie geordnet, oder  

Ja, nach Häufigkeit der Zugriffe.

> ist das nur zur Veranschaulichung?

Ja, v.a. dazu.

> Ein DOS Verhalten ist das weniger - unser DNS ist halt einfach beliebt?

Wo ist die Grenze, wenn er dann auch bei Spammern und DDoS-Betreibern
beliebt ist?
Deshalb hab ich das Ding einigermaßen "zugemacht". Zumindest der grobe
und triviale Mißbrauch ist abgestellt.

Und wir haben nicht mehr 1975, wo man froh war, wenn irgendwas irgendwie
gegangen ist und es keinen nennenswerten Mißbrauch gegeben hat.
Wir schreiben 2006 und inzwischen ist Mißbrauch (bzw. -versuche) eher
die Regel wie die Ausnahme (und es hilft nichts, wenn 10.000 Leute gut
sind, wenn genau einer mißbräuchlich draufgeht. Sorry, aber da haben die
10.000 halt Pech gehabt). Deshalb erst mal alles zumachen und nur das
aufmachen, was Sinn macht (und nicht umgekehrt). Oder geht Ihr alle aus
dem Haus/Wohnung, ohne die Türe zuzusperren?

> Was kann man böses mit einem DNS treiben, wenn er offen ist?

JftSoC: "offen" heißt "offen für rekursive Anfragen".
Gegen nicht-rekursive, die nicht für 0xFF-Zonen kommen, kann man beim
bind9 nichts sinnvolles machen (zumindest hab ich nichts gefunden).

Ansonsten lies das .pdf hinter dem Link. Ich kann es auch nicht besser
erklären. Es erfordert allerdings eine Ahnung, wie DNS funktioniert (wie
soll man sonst eine "Exploit" des Protokolls verstehen können).

> Also ich hab den einfach auch bei vielen Rechnern eingestellt - auch  
> ausserhalb vom FunkFeuer Netz. Das bedeutet nicht, dass es weiter so  
> sein muss, ich meinen nur vermutlich machen das viele Leute?

Das ist auch im Prinzip kein Problem, aber auch DNS-Requests verbraten
auch Bandbreite. Und es passieren ja nicht nur 100 in der Stunde .....
Bei 0xFF und Housing-Rechnern macht es zu 100% Sinn.

Ich glaub halt nicht, daß es unbedingt sinnvoll ist, wenn ein Host aus
dem Kunstlabor in Graz seinen (einzigen?) Default-Nameserver in Wien hat
(da wird es ja lokal in Graz auch was passendes geben). Ich weiß leider
keine einfache Möglichkeit (außer mit iptables oder tcpdump was
loggen/zählen), wie man als root@ leicht feststellen kann, wieviele
DNS-Zugriffe tatsächlich raus gehen[0] - das sind viel mehr, als man
glaubt.

[ TOFU entsorgt ]

	Bernd

[0]: Bei einer Applikation - wie "ping" zu zählen - bringt nichts, weil
     die Resolver-Library und der nscd (von der glibc - falls er
     installiert ist und verwendet wird) schon cachen kann und sonstwie
     Einfluß nimmt.
-- 
Firmix Software GmbH                   http://www.firmix.at/
mobil: +43 664 4416156                 fax: +43 1 7890849-55
          Embedded Linux Development and Services




Mehr Informationen über die Mailingliste Wien