Dan Kaminsky描述了DNS服务器如何被欺骗性的DNS响应中毒[1]。 据我所知,问题是Kaminskyfind了一种解决DNS查询中大多数其他随机来源的方法,这样攻击者的主要障碍是在生成欺骗时猜测DNS查询ID(熵的16位)响应。 平均而言,攻击者可以在32K猜测内欺骗回应。 所以,推荐的缓解措施是随机化源端口,每个人都应用他们的补丁,一切都很好。 除了这个数字只是从32k到134m到4b之间。 当然,这不可能很快完成,但病人攻击者仍然可以这么做 – 事实上,伯特·休伯特(Bert Hubert)计算出在100周内发起攻击在6周内有50%的成功几率。 [2] 我没有足够的声誉发布更多的链接。 但是,我发现在tools.ietf.org,RFC5452以及Google上已经考虑了许多技术方法,例如draft-wijngaards-dnsext-resolver-side-mitigation-01和draft-vixie-dnsext-dns0x20-00公共DNS安全文档: DNS标签位0x20(即cAsE.gAmEs) 绑定做这个? 我不能相信绑定不会实现Vixie提出的东西 但是,攻击可能会迫使查询不能显着消失的域名。 例如。 “d293823。” RTT绑定,IPv4 / IPv6select,源地址随机化(来自wijngaards) 我不认为这会增加显着的熵,但如果绑定可以,我会这样做。 (来自wijngaards)推荐的NS / nameserver / A / AAAA的权限查询 这似乎是一个优雅的解决scheme。 不明白它的问题。 这可能不是大规模部署的首选解决scheme,但对我的网站似乎是合理的。 可以绑定吗? 攻击模式故障计数器 可以绑定吗? 但是,如果我在DNS服务器前有一个有状态的防火墙,那么DNS服务器的问题计数器将永远不会看到有错误的目标端口到达的欺骗性响应? 回退到TCP(特别是进入攻击模式后) 询问两次/三次(特别是进入攻击模式后) 删除重复的查询(来自Google公共DNS) 不幸的是,即使在最新版本的Bind中,我也没有看到任何configuration选项。 所以我想问问还有什么可以做的,以防止这种欺骗攻击风格,特别是当我运行绑定。 如果缓解措施仍然是一个概率性的事情,那么我希望把这个可能性与一百万年来成功的攻击结合起来。 [1] http://s3.amazonaws.com/dmk/DMK_BO2K8.ppt [2] http://ds9a.nl/har-presentation-bert-hubert-3.pdf slide 24。
我正在使用Ubuntu服务器并安装BIND9,所以我可以build立一个DNS服务器。 我正在configuration反向DNS。 这是我的/etc/bind/named.conf.local文件: zone "grupolar.com" in{ type master; file "/etc/bind/db.grupolar.com"; }; zone "0.13.10.in-addr.arpa" in{ type master; file "/etc/bind/db.10.13.0.rev"; }; 这里是我的/etc/bind/db.10.3.0.rev文件: $TTL 604800 $ORIGIN 0.13.10.in-addr.arpa. @ IN SOA ns1.grupolar.com. adm.grupolar.com. ( 10000 ; Serial 604800 ; Refresh 2419200 ; Expire 604800 ) ; Negative Cache TTL IN NS ns1.grupolar.com. 11 IN PTR server1.grupolar.com.; qualified name 12 […]
我有一个域名internal.example.com和第二个域名foo.bar.com 。 每个域都有自己的bind9实例。 我希望能够使用子域foo.internal.example.com访问foo.bar.com中的logging。 即我希望查找xx.foo.internal.example.com作为xx.foo.bar.com转发到foo.bar.com DNS服务器。 有没有办法在bind9中做到这一点?
我刚刚安装了两个Ubuntu 14.04LTS服务器。 第一个我安装了bind9和isc-dhcp-server。 第二个是安装使用DHCP。 我使用VMware Fusion创build了一个新的专用networking,以防止DHCP服务器从我networking的其余部分中脱身,并将两台机器连接到该networking。 此专用networking是仅限主机的networking,不允许主机连接到networking或VMware分配地址。 没有互联网连接或任何其他networking连接。 只有两个虚拟机孤立。 正向和反向DNSparsing。 DHCP成功添加客户端服务器的正向和反向logging。 第二台服务器从DHCP服务器获取所有正确的信息,以便DNS服务器使用。 尽pipe我放在域名服务器中,客户端服务器总是得到127.0.1.1。 我确实认为dhcp服务器发送的127.0.1.1不会被客户端服务器上的任何内容覆盖,因为值显示在/var/lib/dhcp/dhclient.eth0.leases中。 我觉得如果它被客户端服务器上的东西覆盖,它会显示在该文件中的适当的价值,但我可能是错的。 服务器configuration 的/etc/dhcp/dhcpd.conf root@srv1:~# cat /etc/dhcp/dhcpd.conf ddns-update-style interim; ddns-domainname "example.net."; ddns-rev-domainname "in-addr.arpa."; log-facility local7; subnet 172.16.163.0 netmask 255.255.255.0 { range 172.16.163.10 172.16.163.20; option domain-name-servers 172.16.163.1; option domain-name "example.net"; option routers 172.16.163.1; option broadcast-address 172.16.163.225; default-lease-time 600; max-lease-time 7200; } key DHCP_UPDATER […]
我有一个BIND9安装区域分区在不同的视图。 我想限制RNDC控制这个特定的意见。 例如:我希望允许RNDC客户端从视图A中删除区域,但不能从视图B中删除区域。 有没有可能在BIND中实现这样的configuration? 如果没有:任何build议的解决方法?
我的域example.com由NS server1处理(如在域注册器中configuration)。 但是现在我想让它由一个不同的NS来处理,比如说server2 ,而不用改变域名注册商的NS。 换一种说法: server1是一个带有example.com DNS域的NS server2也是一个带有example.com DNS域的NS 域example.com的注册NS是server1 。 是否有可能以某种方式configurationserver1的DNS区域,以便将DNS客户端引用到server2 ? PS: 为什么我要避免在域名注册商中更改NS? 因为在注册服务商中进行更改不是即时的(除了传播)。 因为他们要求太多的确认。 因为实际的变化必须由另一个负责域的人来完成。 因为我们正在从一个托pipe过渡到另一个托pipe,所以我们会一段时间来回。
pipe理运行BIND DNS的DNS服务器。 我们使用dnstop来监视查询。 我有173lo.com作为顶级查询与最高计数,我想知道什么是域,我无法find真正有用的信息在域上。 有人知道吗? dnstop输出: Query Name Count % cum% ——————— ——— —— —— 173lo.com 257283 5.2 5.2 google.com 208042 4.2 9.5 blackberry.com 188231 3.8 13.3 co.uk 183011 3.7 17.0 谢谢。
在这个问题之前,我正在寻找一些帮助,以find一种方式来返回不同的响应来查询基于他们的IP地址的客户端。 这个问题在这里得到了回答: 我如何有select地覆盖绑定DNS服务器上的一些Alogging? 我遵循了接受的答案,现在遇到了问题。 当我运行: nslookup faq.test.com 我期待这一点: root@dev:/etc/bind# nslookup vaultofsatoshi.com Server: 172.16.225.132 Address: 172.16.225.132#53 Non-authoritative answer: Name: faq.test.com Address: 192.168.1.1 但是,我得到这个: root@dev:/etc/bind# nslookup faq.test.com Server: 172.16.225.132 Address: 172.16.225.132#53 ** server can't find faq.test.com: NXDOMAIN 我应该提到,查询google.com或任何其他网站的工作,并返回一切正常,只是我重写,它失败的那些。 我已经包括我的configuration文件下面,任何帮助,将不胜感激。 /etc/bind/named.conf include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; /etc/bind/named.conf.options options { directory "/var/cache/bind"; forwarders { 8.8.8.8; 8.8.4.4; }; response-policy […]
由于Dnsmasq不支持视图,我已经安装并configuration了bind9。 一切正常,但是我注意到我的绑定服务器没有返回与Dnsmasq相同的答案/响应的特定条目。 我怎样才能做到这一点? 这是我的Dnsmasq服务器的configuration: address=/override-url.example.com/54.210.175.6 这是我的Dnsmaq服务器的DNS响应: $ dig @127.0.0.1 override-url.example.com 响应: ; <<>> DiG 9.9.5-3-Ubuntu <<>> @127.0.0.1 override-url.example.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53532 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;override-url.example.com. […]
我是BIND的新手,并且试图理解为什么我的环境无法正常工作。 我有3个DNS服务器,ns1.ixlabs.net,ns2.ixlabs.net和ns1.plesk.ixlabs.net。 ixlabs上的ns1和ns2是ixlabs.net域的主服务器和从属服务器。 ns1.plesk.ixlabs.net是子域名plesk.ixlabs.net的主服务器 这只是一个实验,试图了解如何工作BIND和DNS,它似乎很简单,但它不工作。 当我查询挖@ns1.ixlabs.net test1.plesk.ixlabs.net它应该运行委托,并要求ns1.plesk.ixlabs.net和检索我与主机test1.plesk.ixlabs.net相关的IP地址 dig @ ns1.plesk.ixlabs.net test1.plesk.ixlabs.net告诉我他找不到ns1.plesk.ixlabs.net dig @ 212.129.38.246(ip地址ns1.plesk.ixlabs.net)test1.plesk.ixlabs.net检索我关于主机test1.plesk.ixlabs.net的正确信息 那么,发生了什么? 从他们两个附加configuration文件。 当然,他们之间没有防火墙。 $ORIGIN . $TTL 86400 ; 1 day ixlabs.net IN SOA ns1.ixlabs.net. postmaster.ixlabs.net. ( 2014091004 ; serial 28800 ; refresh (8 hours) 7200 ; retry (2 hours) 1209600 ; expire (2 weeks) 86400 ; minimum (1 day) ) NS […]