Toto je vyjasnění deníku Danově ze včerejška. Máme zájem slyšet, jestli někdo jiný vidí DNS odpovědí od RFC1918 bez směrovatelnými IP adresy, zejména z 10.0.0.0 / 8. Zatím máme jen jednu zprávu, a snažíme se zjistit, jestli je to něco, co silně rozšířené, nebo něco jedinečného pro tohoto uživatele.
Tento čtenář poprvé zaznamenali problém, když firewall hlásil déle sice klesl pakety z 10.x adres. Dva příklad dotazy, které způsobily problém, jsou A dotazy na 25280.ftp.download.akadns.net a adfarm.mplx.akadns.net.Čtenář obdrží dvě odpovědi: Jedna "normální" odpověď z adresy dotaz byl zaslán, a druhý odezvu od 10.x adresu. V důsledku toho by problém bez povšimnutí, i když klesl 10.x odpověď. Obě odpovědi poskytují stejnou odpověď, takže to nemusí být útok, ale více konfigurací.
Jako vedlejší poznámku, zpočátku DNS protokol výslovně povoleno pro odpovědi na přicházející z IP adresy jiné, než je ten dotaz byl na adresu:
"Některé jmenné servery své odpovědi z různých adres, než jaká se používá pro příjem dotazu. To znamená, že resolver se spoléhat, že odpověď bude pocházet ze stejné adresy, která byla odeslána odpovídající dotazu. Toto jméno serveru chyba se obvykle setkali v systémech UNIX. " (RFC1035)
Nicméně, pozdnější v RFC2181, byl odstraněn tento požadavek:
"Nejvíce, jestliže ne všichni, klienti DNS, očekávají adresu, na které je odpověď obdržel být stejná adresa, na kterou vyvolalo dotaz odpověď byla odeslána. To platí pro servery za klienty pro účely rekurzivního dotazu rozlišení, stejně jako jednoduché resolveru klienty. adresa, spolu s identifikátorem (ID) v replice se používá pro disambiguating odpovědi a filtrování nežádoucího odpovědi. To může, ale nemusí, být záměrem, kdy byl navržen DNS, ale je nyní skutečností. " (RFC2181)
Ale my nehledáme odpovědí, které přicházejí ze špatného zdroje, ale duplicitní odpovědi. Jednou z správná a jednou z nesprávné adresy.
Zde je příklad "zbloudilý" paket předkládá čtenáři (mírně upravené pro důvodů ochrany soukromí a lépe celou obrazovku)
Internet Protocol verze 4, Src: 10.17.xy, DST: --- odstraněno ---
Verze: 4
Hlavička délka: 20 bytů
Diferencované služby Obor: 0x00
Celková délka: 84
Identifikace: 0x2a7e (10878)
Flags: 0x00
Fragment offset: 0
Čas žít: 59
Protokol: UDP (17)
Kontrolní součet hlavičky: správné
User Datagram Protocol, Src Port: domain (53), DST Port: antidotemgrsvr (2247)
Domain Name System (odpověď)
ID transakce: 0xb326
Příznaky: 0x8400 (standardní odpovědi na dotaz, žádná chyba)
1 ... .... .... .... = Odpověď: Zpráva je reakcí
0,000 0 ... .... .... = Opcode: Standardní dotaz (0)
.... 0.1 .. .... .... = Autoritativní: Server je autoritou pro doménu
.... .. 0. .... .... = Zkrácený: Zpráva není zkrácen
.... 0 ... .... .... = Požadovaná Rekurze: Nedělejte dotaz rekurzivně
.... .... 0 ... .... = Rekurze k dispozici: Server nemůže dělat rekurzivní dotazy
.... .... 0.0 .. .... = Z: vyhrazené (0)
.... .... .. 0. .... = Odpověď není ověřen
.... .... 0 ... .... = Neověřené údaje: Nepřijatelné
.... .... .... 0000 = Odpověď kód: žádná chyba (0)
Otázky: 1
Odpovědět RR: 1
Orgán RR: 0
Doplňkové RR: 0
Dotazy
ads.adsonar.akadns.net: typ A, třída V
Jméno: ads.adsonar.akadns.net
Typ: (Host adresa)
Třída: V (0x0001)
Odpovědi
ads.adsonar.akadns.net: typ A, třída IN, addr 207.200.74.25
Jméno: ads.adsonar.akadns.net
Typ: (Host adresa)
Třída: V (0x0001)
Čas žít: 5 minut
Délka dat: 4
Adr: 207.200.74.25 (207.200.74.25)
http://www.faqs.org/rfcs/rfc1035.html
http://www.faqs.org/rfcs/rfc2181.html
http://www.faqs.org/rfcs/rfc2181.html
Žádné komentáře:
Okomentovat