Vlákno názorů k článku Internet ohrozila největší bezpečnostní hrozba desetiletí od Lešek - Jak ty testy zjišťují, který DNS server mají...
-
Ray (neregistrovaný)Ŕekl bych, že velice jedndouše. Vytvoří unikádní DNS méno, ala "nejakejnesmyslcojestenebyl.domena.com". Klient se dožádá jejich DNS serveru odpovědi, oni si zaznamenají source IP adresu a tu otestují. Čili, velice jednoduché, ale poměrně funkční, pokud souhlasí DNS resolved klienta a IP adresa, co se ptá jejich DNS (což nemusí vždy platit, ale ve většine případu ano). Případně jesli je po cestě forwarder, tak IP adresa bude jiná. Na druhou stranu, pravděpodobně správná z hlediska testu :)
R. -
Tohle vysvetleni jsem tak nejak nepochopil a stejne tak chovani toho DNS testu.
Test mi na nekolika mistech vypisuje, ze otestoval IP adresu, na ktere zadny DNS server nebezi - v podstate vzdy vypisuje adresu, za kterou jsem schovany (NAT), pricemz na teto verejne adrese nebezi *zadna* sluzba, tedy ani DNS.
Nekde je zrejme chyba - bud ten test testuje jiny DNS server a spatne vypisuje IP adresu otestovaneho serveru, nebo si vymysli. Takze tak. -
On si odpověděl, ale já bych se to pokusil více rozvést...
Testuje se IP adresa, ze které chodí dotazy, nezáleží na jaké adrese je server, kterého se ptáte vy, ale server, který se pak ptá autoritativního serveru. Jestli je mezi serverem, kterého se ptáte vy, a autoritativním server, který odpovídá, dalších 10 zřetězených serverů, se normálně vy už nedovíte, ale přitom stačí napadnout ten nejblíž autoritativnímu serveru (nebo nejdál vám), tedy ten, který komunikuje s "internetem".
To samé platí o NATu. Což je taková třešnička na dortu. Vy můžete mít zazáplatovaný DNS server a váš NAT pak bude tak hodný, že vaše náhodné porty zeserializuje... a jste tam kde jsme byli před aktualizací. -
Ray (neregistrovaný)Přesně jak říká přechozí post. Test testuje SKUTEČNOU IP adresu, která provádí patřičné query. Protože NAT, redirekty, forwardery, ... může být rozdílná od té, na které, z tvého hlediska, DNS bydlí. Nicméně, pokud je sít nakonfigurována rozumně, je neduležitější ten stroj, který provádí query. Pokdu je po cestě 10 forwarderů/caches, který akceptujou odpovědi odkudkoliv a DNS port mají přístupný z vnější sitě, pak netřeba komentáře :)
R.
ČLÁNKY DO MAILU