Co presne znamenaji hlasky bindu
Petr Soucek
petr na ryston.cz
Úterý Červen 1 17:17:10 CEST 1999
Petr Novotny wrote:
> trochu mi tu drzkuje bind - ve /var/log/messages nachazim hlasky
> typu
> Bad referral (neco !< neco)
Tohle mi vypisoval tehdy, kdyz jsem testoval spoofing, v tom pripade to
znamenalo, ze pri dotazu na A prisla odpoved cname a pak A, ale s
chybnou IP adresou. Napriklad si jde zkusit:
dig tester.sub.checkdns.com A
vysledek je SERVFAIL a a v logu se objevi:
Jun 1 16:41:09 ns1 named[278]: XX
/194.24.231.11/tester.sub.checkdns.com/A
Jun 1 16:41:29 ns1 named[278]: XX
/194.24.231.11/tester.sub.checkdns.com/A
Jun 1 16:41:32 ns1 named[278]: bad referral (sub.watchdns.com !<
CHECKDNS.com)
Jun 1 16:41:32 ns1 named[278]: ns_resp: query(tester.sub.checkdns.com)
No possible A RRs
Ten "podvod" je tady:
; <<>> DiG 8.1 <<>> @dns1.menandmice.com tester.sub.checkdns.com A
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1
;; QUERY SECTION:
;; tester.sub.checkdns.com, type = A, class = IN
;; ANSWER SECTION:
tester.sub.checkdns.com. 0S IN CNAME tested.sub.watchdns.com.
tested.sub.watchdns.com. 1H IN A 100.100.100.100
;; AUTHORITY SECTION:
sub.watchdns.com. 0S IN NS ralph.menandmice.is.
;; ADDITIONAL SECTION:
ralph.menandmice.is. 1D IN A 193.4.171.26
jenomze:
; <<>> DiG 8.1 <<>> @ralph.menandmice.is tested.sub.watchdns.com A
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUERY SECTION:
;; tested.sub.watchdns.com, type = A, class = IN
;; ANSWER SECTION:
tested.sub.watchdns.com. 0S IN A 200.200.200.200
;; AUTHORITY SECTION:
sub.watchdns.com. 0S IN NS ralph.menandmice.is.
;; ADDITIONAL SECTION:
ralph.menandmice.is. 5h32m47s IN A 193.4.171.26
A ten spoofing spociva v tom, ze rada nameserveru si po tom prvnim
dotazu zacne myslet, ze IP adresa tested.sub.watchdns.com. je
100.100.100.100, coz je ale podstrcena adresa serverem, ktery neni vubec
pro tu domenu autoritativni. Na autoritativnim serveru
ralph.menandmice.is. je totiz spravna IP adresa 200.200.200.200.
Zkousel jsem program DNS Expert Professinal (pod Win), a ten byl schopen
po nekolika pokusech presvedcit vetsinu nameserveru, co znam, ze
odpovidaly spatne, jak bindy 4.x, tak nas 8.1.2. 8.2 jsem nezkousel,
nebot se mi ji nepodarilo pod RH5.2 zkompilovat, a ta z contribu
nechodi.
> a
> Lame server on 'adresa' (in 'domena'?): [ip].53 stroj
>
Tady je to mnohem jednodussi, lame server znamena, ze je v nadrazene
nameserveru nadefinovany, ktere servery maji byt pro danou domenu
autoritativni, ty se ale k tomu nehlasi, tj. nejsou zkonfigurovany jako
primar nebo sekundar pro danou domenu.
Opet konkretni priklad: v logu mam:
May 31 13:22:31 ns2 named[26361]: Lame server on 'www.chanos.cz' (in
'chanos.cz'?): [193.165.64.1].53 'trantor.tempr.cz'
May 31 13:22:32 ns2 named[26361]: Lame server on 'WWW.CHANOS.CZ' (in
'chanos.cz'?): [195.47.33.37].53 'ns.penta.cz'
a tak se podivam, co si mysli o domene chanos.cz autoritativni server
pro domenu cz, tj treba ns.eunet.cz:
;; QUERY SECTION:
;; chanos.cz, type = NS, class = IN
;; ANSWER SECTION:
chanos.cz. 4D IN NS trantor.tempr.cz.
chanos.cz. 4D IN NS ns.penta.cz.
A kdyz se jich zeptam:
dig @trantor.tempr.cz. chanos.cz SOA
tak zadnou odpoved nedostanu, tj. server neni pro chanos.cz
autoritativni, a vraci SERVFAIL status, protoze je zmaten tim, ze pri
pokusu o rekurzi se dozvi, ze by mel znat odpoved sam.
To, ktere hlasky kam loguje se da dobre nastavit, viz named.conf.5
(musite ho vytahnout ze SRPM nebo originalniho tar.gz, RedHati ho
zapomneli pribalit do i386.rpm, opraveno az ve verzi bind-8.2-7)
> [petrn na saturnin petrn]$ rpm -q bind
> bind-8.2-1
To je ten z contribu? Moc mi nefungoval, hlavne utilita ndc.
Zdravi
Petr Soucek
Další informace o konferenci Linux