Re: [OT]: Bind9 Angriffe
On Sat, 14 Jul 2012 22:06:51 +0200, Hanspeter Spalinger
<hanfi@spahan.ch> wrote:
>On 14.07.2012 19:44, Marc Haber wrote:
>> On Wed, 11 Jul 2012 18:08:02 +0200, HP <debian@spahan.ch> wrote:
>>> Die Anfragen kommen von Port 53?
>>> Normalerweise sollten queries randomisierte ports verwenden (siehe
>>> auch dns-spoofing, dan kaminsky, dnssec, etc).
>>
>> Auch wenn es ein Server ist, der die Anfrage stellt?
>Iirc ja. Das war ja gerade das Problem mit dem Cache Poisoning.
Danke, dass Du mich motiviert hast, mir das endlich mal wieder
anzugucken. Ja, bind 9 in aktueller Version verwendet für seine
Queries randomisierte Quellports.
>Aber wenn Firewalling ein Problem für den OP ist, braucht er
>professionellere Hilfe als meine
Oder er lässt es einfach bleiben, korrekt konfigurierte Systeme
brauchen keinen Paketfilter.
>Was mir übrigens am OP Log im Nachhinein noch aufgefallen ist:
>> Wed Jul 11 17:04:20 2012; UDP; eth2; 1160 bytes; from 181.192.8.7:53
>to 46.249.48.209:53
>Ich dachte immer DNS-UDP-Antworten seien auf 512 Bytes begrenzt?
EDNS0 erlaubt größere Antwortpakete.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: