Netzen, Tag 6
Trackbacks
Trackback-URL für diesen Eintrag
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
ikari am um :
Meinten Sie: "Meine linke Hand, das Spielzeug für große Mädchen"?
ranma am um :
Zu den '.'-Requests: Da gabs IIRC einen Amplification-Effekt mit solchen Requests, der für DoS benutzt werden kann. Vieleicht ist das einfach daher geblockt?
IIRC hab' ich da auf ari&oni auch extra mal einen iptables-Regel hinzugefügt die DNS-Requests die nur nach '.' fragen einfach unter den Tisch fallen lässt.
IIRC hab' ich da auf ari&oni auch extra mal einen iptables-Regel hinzugefügt die DNS-Requests die nur nach '.' fragen einfach unter den Tisch fallen lässt.
ranma am um :
Siehe auch http://isc.sans.edu/diary.html?storyid=5713
mitch am um :
Dass man bei nicht-Root-Nameservern die Anfrage nach "." blockieren will, kann ich verstehen. Entweder lösen sie rekursiv auf, dann kann man sie direkt nach dem eigentlichen Namen fragen, oder man fragt sie nach was aus ihrer eigenen Zone. Sie nach den Root-Servern zu fragen, ist nicht sinnvoll, jeder Resolver sollte mindestens eine Rootserver-IP im Bauch haben und sich von da durchhangeln.
Hier geht es aber um die direkte Anfrage an einen DNS-Rootserver. Wenn man aber die Anfrage "wer sind die anderen DNS-Rootserver" an die DNS-Rootserver blockt, dann müsste das doch über kurz oder lang Probleme geben, oder?
Oder sind wir schon bei Dialup-Blacklists so wie bei Email - DNS nur noch über den Provider, Selbermachen ist nicht?
Hier geht es aber um die direkte Anfrage an einen DNS-Rootserver. Wenn man aber die Anfrage "wer sind die anderen DNS-Rootserver" an die DNS-Rootserver blockt, dann müsste das doch über kurz oder lang Probleme geben, oder?
Oder sind wir schon bei Dialup-Blacklists so wie bei Email - DNS nur noch über den Provider, Selbermachen ist nicht?