URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 39056
[ Назад ]

Исходное сообщение
"OpenNews: Интересная статистика по DNS серверам в сети"

Отправлено opennews , 21-Ноя-07 23:47 
Опубликованы результаты исследования (http://dns.measurement-factory.com/surveys/200710.html) состояния DNS серверов в сети Интернет, по состоянию на октябрь 2007 года.


Некоторые результаты:


-  В сети приблизительно 11 700 000 DNS серверов (в августе 2006 года было 9 000 000);
-  В сети примерно 16 000 000 открытых резолверов (ПО для 57.8% из которых не определено).
-  ПО обеспечивающее работу DNS серверов:


-  BIND 9 - 84.6%
-  BIND 8 - 6.58%
-  Microsoft Windows DNS 2000 - 4.6%
-  PowerDNS - 1.55%
-  Microsoft Windows DNS 2003 - 0.58%
-  BIND 4 - 0.36%
-  Microsoft Windows DNS NT4 - 0.27%
-  Nominum ANS - 0.10%
-  Cisco CNR - 0.05%
-  Другие - 0.31%


-  52.1% всех серверов поддерживают анонимные рекурсивные запросы, что катастрофически с точки зрения безопасности;
-  31.1% всех серверов допускают трансфер зон;
-  0.27% DNS серверов поддерживают работу по IPv6;
-  0.0018% DNS серверов имеют DNSSEC записи;
-  12.6% зон имеют SPF запись.


В материале "DNS users put higher premium on security (http://www.techworld.com/networking/news/index.cfm?newsid=10690)" представлен небольшой аналитический отчет, с упором на безопасность.

URL: http://dns.measurement-factory.com/surveys/200710.html
Новость: http://www.opennet.me/opennews/art.shtml?num=12878


Содержание

Сообщения в этом обсуждении
"Интересная статистика по DNS серверам в сети"
Отправлено Delerium , 21-Ноя-07 23:47 
Про анонимные рекурсивные запросы по подробнее бы где нибудь почитать можно?

"Интересная статистика по DNS серверам в сети"
Отправлено anton_lva , 22-Ноя-07 00:42 
Вот, именно поэтому, "52.1% всех серверов поддерживают анонимные рекурсивные запросы" =)))

Когда же, накеонец, красноглазые одмины научатся пользоваться гуглом и мозгом?!


"Интересная статистика по DNS серверам в сети"
Отправлено aim , 22-Ноя-07 00:59 
Моск, это конечно замечательно, но что даёт предпосылки для такого использования? не лучше ли ISC подумать о конфигурации, по-умолчанию не позволяющей такие вещи?!

"Интересная статистика по DNS серверам в сети"
Отправлено anton_lva , 22-Ноя-07 01:23 
Странные у вас вопросы... Я даже не знаю, что на такое можно ответить.

"Интересная статистика по DNS серверам в сети"
Отправлено anton_lva , 22-Ноя-07 01:27 
А почему мамаши младенцам памперсы не интегрируют при рождении? Не лучше ли придумать такую цепочку ДНК, чтобы они сами из задницы вырастали, тогда никто бы не обсерался.

Как-то так...


"Интересная статистика по DNS серверам в сети"
Отправлено iav , 22-Ноя-07 07:56 
Вообще-то, в отличие от многих других программ, у bind вообще нет в поставке файла «конфигурации по умолчанию», и именно необходимостью почитать документацию авторы аргументируют это отсутствие.

"Интересная статистика по DNS серверам в сети"
Отправлено terminus , 21-Ноя-07 23:55 
Че-то, как-то, того-этого... А где там у них в статистике мой любимый djbdns? ;)

"Интересная статистика по DNS серверам в сети"
Отправлено tim777 , 22-Ноя-07 00:06 
Наверное где-то здесь:
"ПО для 57.8% из которых не определено"

"Интересная статистика по DNS серверам в сети"
Отправлено w12 , 22-Ноя-07 00:30 
или здесь:

Другие - 0.31%

:D


"Интересная статистика по DNS серверам в сети"
Отправлено nowinter , 22-Ноя-07 00:28 
IPv6 пока отдыхает во всех смыслах

"Интересная статистика по DNS серверам в сети"
Отправлено 235 , 22-Ноя-07 04:41 
вообще-то, сразу после отключения трансферов й рекурсивных запросов, рекомендуеться глушить вывод версии бинда, дабы не ловить експлоитов

"Интересная статистика по DNS серверам в сети"
Отправлено Михалыч , 22-Ноя-07 07:02 
Невижу ничего плохого в трансфере зон... а вот рекурсивность и версию бинда - давно закрыл.

"Интересная статистика по DNS серверам в сети"
Отправлено baverman , 22-Ноя-07 07:20 
Трансфер зон дает великолепную карту сервисов, на которые можно проводить атаки.

"Интересная статистика по DNS серверам в сети"
Отправлено anonymous , 22-Ноя-07 09:21 
да-да-да :) secure by obscure. Вместо того, чтобы обновлять ПО, давайте его спрячем, авось не найдут.

"Интересная статистика по DNS серверам в сети"
Отправлено baverman , 22-Ноя-07 10:30 
Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему запрет трансфера предполагает необновление?

"Интересная статистика по DNS серверам в сети"
Отправлено GR , 22-Ноя-07 10:46 
>Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему
>запрет трансфера предполагает необновление?

Нет но "карта" сервисов не может являться причиной отключения трансфера.


"Интересная статистика по DNS серверам в сети"
Отправлено KdF , 22-Ноя-07 11:22 
>>Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему
>>запрет трансфера предполагает необновление?
>
>Нет но "карта" сервисов не может являться причиной отключения трансфера.

Первое что делает атакующий - пытается получить и систематизировать знания о системе (системах). Трансфер зоны оказывает ему в этом неоценимую услугу =)

Хотя бы тупо позволяет узнать названия виртуальных хостов на веб-сервере. И security by obscurity здесь ни при чем, ведь план организации сигнализации помещений банка наверное не висит в каждом отделении на стене объявлений.


"Интересная статистика по DNS серверам в сети"
Отправлено anonymous , 22-Ноя-07 12:12 
>[оверквотинг удален]
>>>запрет трансфера предполагает необновление?
>>
>>Нет но "карта" сервисов не может являться причиной отключения трансфера.
>
>Первое что делает атакующий - пытается получить и систематизировать знания о системе
>(системах). Трансфер зоны оказывает ему в этом неоценимую услугу =)
>
>Хотя бы тупо позволяет узнать названия виртуальных хостов на веб-сервере. И security
>by obscurity здесь ни при чем, ведь план организации сигнализации помещений
>банка наверное не висит в каждом отделении на стене объявлений.

Если сигнализация установлена и настроена грамотно, подведено резервное питание и т.д., то план можно хоть в газете печатать - сигнализацию обойти не получится


"Интересная статистика по DNS серверам в сети"
Отправлено baverman , 22-Ноя-07 12:17 
Угу. Рыцарь без страха и упрека. Настоящий индеец. Гуру администрирования :)

"Интересная статистика по DNS серверам в сети"
Отправлено anonymous , 22-Ноя-07 12:51 
>Угу. Рыцарь без страха и упрека. Настоящий индеец. Гуру администрирования :)

Да нет :) Я прекрасно знаю, где и чего надо у меня закрыть и поправить. К сожалению на всё не хватает времени. И я вполне допускаю мысль, что о некоторых вещах мне пока неизвестно. Поэтому я и читаю этот и подобные ему сайты.



"Интересная статистика по DNS серверам в сети"
Отправлено Аноним , 22-Ноя-07 07:35 
Верояно, 57.8% админов всё-таки пользуются гуглом и мозгом...

"Интересная статистика по DNS серверам в сети"
Отправлено adil_18 , 22-Ноя-07 08:55 
интересно, у кого тут есть SPF records ??? :-D

"Интересная статистика по DNS серверам в сети"
Отправлено Keeper , 22-Ноя-07 09:00 
У меня есть. Пользы не заметил.

"Интересная статистика по DNS серверам в сети"
Отправлено anonymous , 22-Ноя-07 09:49 
У меня есть, польза есть, когда тупорылые спамеры начнут слать спам якобы от твоего домена тогда заметишь

"Интересная статистика по DNS серверам в сети"
Отправлено Тушкан , 22-Ноя-07 14:09 
Где подробнее почитать на эту тему ?

"Интересная статистика по DNS серверам в сети"
Отправлено Golub Mikhail , 22-Ноя-07 11:27 
Использую SPF уже год наверное - толк есть.

"Интересная статистика по DNS серверам в сети"
Отправлено Омммм , 22-Ноя-07 14:49 
тоже использую уже как год, как отмывал себя из блеков так и продолжаю отмывать... (это при том, что у меня никого нету в нате и почта тока по авторизации отсылается)

имхо отдача от SPF появится, когда им будут пользоватся не тока в днс записи но и на почтовых демонах, а на них SPF из коробки не поддерживаетсо (плуги/патчи ясен пень есть... короч опять возвращаемся к "вменяимому по умолчанию")


"OpenNews: Интересная статистика по DNS серверам в сети"
Отправлено dukie , 22-Ноя-07 17:04 
Вот кстати рекомендую: http://www.dnsstuff.com/
Чекер зоны - многое вам расскажет и про трансфер и про рекурсию и про spf и даст рекомендации как исправить.

"OpenNews: Интересная статистика по DNS серверам в сети"
Отправлено anesth , 08-Дек-07 14:06 
бугагагага
dig @ns.mia.gov.ua mia.gov.ua axfr

"Интересная статистика по DNS серверам в сети"
Отправлено XD , 15-Дек-07 04:03 
> бугагагага
> dig @ns.mia.gov.ua mia.gov.ua axfr

+1
Apache/1.3.27 Server at stssrc.mia.gov.ua Port 80