DNS

Roman Neuhauser neuhauser at bellavista.cz
Wed Dec 10 12:50:28 CET 2003
Previous message: DNS
Next message: DNS
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
# dan at obluda.cz / 2003-12-09 23:45:40 +0100:
> Roman Neuhauser napsal/wrote, On 12/09/03 13:25:
> >>	Co lze zakazat bez nebezpeci (respektive, co lze povolit jen 
> >>	omezenmu okruhu lidi) jsou "rekurzivni dotazy". Dotazy tykajici se 
> >>	primo delegovanych domen se tak vyridi, protoze ty se nevyrizuji 
> >>rekurzivne, ostatni dotazy se vyrozivat nebudou (nebo budou jen pro 
> >>omezeny okruh lidi).
> > 
> >    to je velice spatny napad; zvlast v kombinaci s pochybnych chovanim
> >    BINDu.
> >    
> >    minuly tyden jsem resil problem s resolvery publikovanymi Eurotelem
> >    pro svoje GPRS zakazniky. 2. prosince jsem dostal stiznost od
> 
> 	No, pokud jsem pochopil cely popsany problem, tak hacek byl v toim, 
> 	ze jeden resolver byl down (coz je jiste vada, ktera neni vyhrazena pouze 
> jednomu software) a druhy byl nerekurzivni nebot' byl chybe 
> nakonfigurovany - a chybna konfigurace mi take nepriada byt problem 
> konretniho software.

    ne, hacek byl v tom, ze BIND dava odpovedi na rekurzivni dotazy,
    pokud uz ma odpoved v cachi. tim se problem maskoval, trvalo dyl,
    nez se na padly server Eurotelu prislo, a nebylo hned jasne, co se
    deje.
 
> >    Tohle chovani je primo vrazedne, protoze podporuje mezi lidmi zmatek
> >    ohledne ruznych roli name serveru (rikejme jednomu server a druhemu
> >    cache, nikdo prece nerika Squidu web server), a muzu se jenom
> >    dohadovat, jakym zpusobem se 194.228.2.1 ocitla na te strance
> >    (nicmene s vetou "to je jedno, dejte si tam treba name servery
> >    volneho" uz jsem se od "pocitacovych odborniku" taky slysel).
> 
> 	Pri vsi ucte, neni ukolem "lidi" aby chapali ruzne funkce 
> 	nameserveru. To je zalezitosti spravce site, coz je odbornik, kteremu by 
> takove veci nemely delat zasadni problem. Zrovna v tomhle pripade je 
> nicmene zrejme, proc to "lidi" nechapou.

    ledaze se "lidmi" mysli i "spravci siti a jini odbornici". 

> 	Ostatne, popsany priklad nevznik ze zadneho zmateni. Zadny ze 
> jmenovanych spravcu si ulohy serveru nepletl.

    nesouhlasim. server a.ns.example.org. muze davat referaly na org.
    jak chce, pokud pro tuto domenu neni autoritativni, druha strana to
    stejne zahodi. pokud totiz ne, zebra o to, aby ji nekdo se zlym
    umyslem dal spatne referally napr. na com. a vyradil ji tak z provozu.
 
> >>Co se DJBDNS tyce - mozna mam uz zastarale nebi chybne onformace, 
> >>ale mel jsem dojem, ze ono neumi na jednom stroji byt soucasne 
> >>autoritativnim nameserverem pro nejakou domenu a soucasne rekurzivnim 
> >>nameserverem slouzicim koncovym stanicim. Pokud je to pravda, pak muze 
> >>Tomas DJBDNS pouzit jen v pripade, ze zminene DNS nepouzivaji nejaci 
> >>uzivatele jako resolver.
> >
> >    djbdns je balik nekolika demonu, z nichz dva se pripojuji na 53/UDP:
> >    dnscache (rekurzivni cache) a tinydns (autoritativni server). na
> >    jednom stroji muzete mit tolik bezicich tinydns nebo dnscachi, kolik
> >    mate IP adres.
> 
> 	Takze jsem si to pamatoval dobre, ale spatne to vyjadril.
> 
> 	Pokud nemate vice IP adres, nemuzete, pri pouziti DJBDNS na jednom 
> stroji soucasne provozovat resolver pro uzivatele a soucasne 
> autoritativni nameserver.

    muzete uvest realnou situaci, kdy potrebujete mit na jednom stroji
    cache, autoritativni server, a IP adresy jsou problem?

-- 
If you cc me or remove the list(s) completely I'll most likely ignore
your message.    see http://www.eyrie.org./~eagle/faqs/questions.html
Previous message: DNS
Next message: DNS
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list