Open resolver: Difference between revisions
No edit summary |
No edit summary |
||
| Line 35: | Line 35: | ||
* allow-query - kas päringud on lubatud | * allow-query - kas päringud on lubatud | ||
* allow-transafer - kas tsooni transfer on lubatud | * allow-transafer - kas tsooni transfer on lubatud | ||
=== WIndows 2008 serveri seadistamine === | |||
;Käsurealt: | |||
1. Ava käsurida ("command prompt") | |||
2. Sisesta järgnevad käsud ning vajuta ENTER: | |||
<pre> | |||
dnscmd <ServerName> /Config /NoRecursion {1|0} | |||
</pre> | |||
* dnscmd - dns seadsitamise programm | |||
* ServerName - server ,mida soovitakse seadistada. Võib kasutada ka IP aadressi, kohalik masina DNS serveri asemel võib kasutada ka punkti "." | |||
* /Config - seadistamiseks vajalik parameeter. | |||
* /NoRecursion- rekrusiivsete päringute lubamine ja keelamine. {1|0}. 1 off, 0 on. Vaikimisi on lubatud. | |||
=Open resolver test= | =Open resolver test= | ||
Revision as of 12:40, 9 May 2011
Autorid: Peep Binsol (AK31), Rene Vahtel (DK31)
Sissejuhatus
Open resolveriks nimetatakse nimeserverit, mis pakub nimelahendusteenust ka väljapoole oma administratiivset domeeni. Enamasti on open resolveriks puudulikult konfigureeritud DNS server. Ilma otsese vajaduseta tasuks kindlasti vältida open resolveri püstipanekut oma võrku. Pole mingit vajadust pakkuda avalikku teenust kõigile. See tähendab enamasti, et nimelahendust saab kasutada kogu internet. Teiseks saab kogu maailmale avatud DNS serverit kasutada DDOS rünnakute läbiviimiseks. [1] [2] Lisaks on avatud serverit rünnata vahemälu manipuleerimise teel. [3] Nii satuksid ohtu konkreetse serveri teenuseid kasutavad kliendid.
Bind9 konfigureerimine
Näide kuidas ACL'i kasutades vältida nimeserveri muutumist open resolveriks. named.conf.options näitefail
acl me {192.168.7.0/24;};
options {
directory "/var/cache/bind";
forwarders {
8.8.8.8;
8.8.4.4;
};
allow-recursion { me; };
allow-query { me; };
allow-transfer { me; };
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
- acl - access control list, nimekiri võrkudest või ip aadressidest
- allow-recursion - kas päringud on lubatud "forwarders" nimeserveritesse
- allow-query - kas päringud on lubatud
- allow-transafer - kas tsooni transfer on lubatud
WIndows 2008 serveri seadistamine
- Käsurealt
1. Ava käsurida ("command prompt")
2. Sisesta järgnevad käsud ning vajuta ENTER:
dnscmd <ServerName> /Config /NoRecursion {1|0}
- dnscmd - dns seadsitamise programm
- ServerName - server ,mida soovitakse seadistada. Võib kasutada ka IP aadressi, kohalik masina DNS serveri asemel võib kasutada ka punkti "."
- /Config - seadistamiseks vajalik parameeter.
- /NoRecursion- rekrusiivsete päringute lubamine ja keelamine. {1|0}. 1 off, 0 on. Vaikimisi on lubatud.
Open resolver test
- Käsurealt küsimine kasutades dig programmi:
Kontrollime nimeserverit 193.40.254.227
dig +short 227.254.40.193.dnsbl.openresolvers.org 127.0.0.2
Juhul kui vastus on 127.0.0.2 siis on tegu openresolveriga.
Teine variant (kontrollitakse masinas kasutatavad nimeserverit):
dig +short amiopen.openresolvers.org TXT "Your resolver at 193.40.56.245 is CLOSED"
- Veebipõhine liides: http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl
