Netzen, Tag 6
Abbauen, einpacken, aufräumen und nach Hause fahren.
Nicht allerdings, ohne noch den Router für meinen Bruder fertig zu konfigurieren. Hab dann letztendlich doch was geschafft.
Interessante Feststellung: Primer-Anfragen an die Root-Nameserver wie z.B.
Auf jeden Fall kann ich lange an einem Root-Server-befrangendem unbound auf dem Router herumkonfigurieren und mich wundern, warum nichts funktioniert, wenn mir außerhalb jemand die Pakete wegfrisst.
War toll, gerne wieder!!!
Nicht allerdings, ohne noch den Router für meinen Bruder fertig zu konfigurieren. Hab dann letztendlich doch was geschafft.
Interessante Feststellung: Primer-Anfragen an die Root-Nameserver wie z.B.
dig @192.58.128.30 . liefern an verschiedenen Telekom-DSL-Anschlüssen nicht wie erwartet "recursion requested but not available", sondern einen timeout. Die Anfrage nach de. wird dagegen korrekt beantwortet. Entweder sind wir da mehreren Routern aufgesessen, die sehr kurze UDP-Pakete kommentarlos wegschmeißen (unwahrscheinlich) oder die Telekom blockt anschluss- oder accountabhängig Anfragen an die Root-Nameserver (WTF?!? sind wir unter Beobachtung irgendeiner Agency?!?). Merk-wür-dig!Auf jeden Fall kann ich lange an einem Root-Server-befrangendem unbound auf dem Router herumkonfigurieren und mich wundern, warum nichts funktioniert, wenn mir außerhalb jemand die Pakete wegfrisst.
War toll, gerne wieder!!!
Meine linke Hand und das Spielzeug für große Mädchen.
Geschrieben von 
mitch
mitch
Trackbacks
Trackback-URL für diesen Eintrag
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
ikari am um :
Meinten Sie: "Meine linke Hand, das Spielzeug für große Mädchen"?
ranma am um :
Zu den '.'-Requests: Da gabs IIRC einen Amplification-Effekt mit solchen Requests, der für DoS benutzt werden kann. Vieleicht ist das einfach daher geblockt?
IIRC hab' ich da auf ari&oni auch extra mal einen iptables-Regel hinzugefügt die DNS-Requests die nur nach '.' fragen einfach unter den Tisch fallen lässt.
IIRC hab' ich da auf ari&oni auch extra mal einen iptables-Regel hinzugefügt die DNS-Requests die nur nach '.' fragen einfach unter den Tisch fallen lässt.
ranma am um :
Siehe auch http://isc.sans.edu/diary.html?storyid=5713
mitch am um :
Dass man bei nicht-Root-Nameservern die Anfrage nach "." blockieren will, kann ich verstehen. Entweder lösen sie rekursiv auf, dann kann man sie direkt nach dem eigentlichen Namen fragen, oder man fragt sie nach was aus ihrer eigenen Zone. Sie nach den Root-Servern zu fragen, ist nicht sinnvoll, jeder Resolver sollte mindestens eine Rootserver-IP im Bauch haben und sich von da durchhangeln.
Hier geht es aber um die direkte Anfrage an einen DNS-Rootserver. Wenn man aber die Anfrage "wer sind die anderen DNS-Rootserver" an die DNS-Rootserver blockt, dann müsste das doch über kurz oder lang Probleme geben, oder?
Oder sind wir schon bei Dialup-Blacklists so wie bei Email - DNS nur noch über den Provider, Selbermachen ist nicht?
Hier geht es aber um die direkte Anfrage an einen DNS-Rootserver. Wenn man aber die Anfrage "wer sind die anderen DNS-Rootserver" an die DNS-Rootserver blockt, dann müsste das doch über kurz oder lang Probleme geben, oder?
Oder sind wir schon bei Dialup-Blacklists so wie bei Email - DNS nur noch über den Provider, Selbermachen ist nicht?