Опубликованы результаты исследования (http://dns.measurement-factory.com/surveys/200710.html) состояния DNS серверов в сети Интернет, по состоянию на октябрь 2007 года.
Некоторые результаты:
- В сети приблизительно 11 700 000 DNS серверов (в августе 2006 года было 9 000 000);
- В сети примерно 16 000 000 открытых резолверов (ПО для 57.8% из которых не определено).
- ПО обеспечивающее работу DNS серверов:
- BIND 9 - 84.6%
- BIND 8 - 6.58%
- Microsoft Windows DNS 2000 - 4.6%
- PowerDNS - 1.55%
- Microsoft Windows DNS 2003 - 0.58%
- BIND 4 - 0.36%
- Microsoft Windows DNS NT4 - 0.27%
- Nominum ANS - 0.10%
- Cisco CNR - 0.05%
- Другие - 0.31%
- 52.1% всех серверов поддерживают анонимные рекурсивные запросы, что катастрофически с точки зрения безопасности;
- 31.1% всех серверов допускают трансфер зон;
- 0.27% DNS серверов поддерживают работу по IPv6;
- 0.0018% DNS серверов имеют DNSSEC записи;
- 12.6% зон имеют SPF запись.
В материале "DNS users put higher premium on security (http://www.techworld.com/networking/news/index.cfm?newsid=10690)" представлен небольшой аналитический отчет, с упором на безопасность.URL: http://dns.measurement-factory.com/surveys/200710.html
Новость: http://www.opennet.me/opennews/art.shtml?num=12878
Про анонимные рекурсивные запросы по подробнее бы где нибудь почитать можно?
Вот, именно поэтому, "52.1% всех серверов поддерживают анонимные рекурсивные запросы" =)))Когда же, накеонец, красноглазые одмины научатся пользоваться гуглом и мозгом?!
Моск, это конечно замечательно, но что даёт предпосылки для такого использования? не лучше ли ISC подумать о конфигурации, по-умолчанию не позволяющей такие вещи?!
Странные у вас вопросы... Я даже не знаю, что на такое можно ответить.
А почему мамаши младенцам памперсы не интегрируют при рождении? Не лучше ли придумать такую цепочку ДНК, чтобы они сами из задницы вырастали, тогда никто бы не обсерался.Как-то так...
Вообще-то, в отличие от многих других программ, у bind вообще нет в поставке файла «конфигурации по умолчанию», и именно необходимостью почитать документацию авторы аргументируют это отсутствие.
Че-то, как-то, того-этого... А где там у них в статистике мой любимый djbdns? ;)
Наверное где-то здесь:
"ПО для 57.8% из которых не определено"
или здесь:Другие - 0.31%
:D
IPv6 пока отдыхает во всех смыслах
вообще-то, сразу после отключения трансферов й рекурсивных запросов, рекомендуеться глушить вывод версии бинда, дабы не ловить експлоитов
Невижу ничего плохого в трансфере зон... а вот рекурсивность и версию бинда - давно закрыл.
Трансфер зон дает великолепную карту сервисов, на которые можно проводить атаки.
да-да-да :) secure by obscure. Вместо того, чтобы обновлять ПО, давайте его спрячем, авось не найдут.
Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему запрет трансфера предполагает необновление?
>Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему
>запрет трансфера предполагает необновление?Нет но "карта" сервисов не может являться причиной отключения трансфера.
>>Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему
>>запрет трансфера предполагает необновление?
>
>Нет но "карта" сервисов не может являться причиной отключения трансфера.Первое что делает атакующий - пытается получить и систематизировать знания о системе (системах). Трансфер зоны оказывает ему в этом неоценимую услугу =)
Хотя бы тупо позволяет узнать названия виртуальных хостов на веб-сервере. И security by obscurity здесь ни при чем, ведь план организации сигнализации помещений банка наверное не висит в каждом отделении на стене объявлений.
>[оверквотинг удален]
>>>запрет трансфера предполагает необновление?
>>
>>Нет но "карта" сервисов не может являться причиной отключения трансфера.
>
>Первое что делает атакующий - пытается получить и систематизировать знания о системе
>(системах). Трансфер зоны оказывает ему в этом неоценимую услугу =)
>
>Хотя бы тупо позволяет узнать названия виртуальных хостов на веб-сервере. И security
>by obscurity здесь ни при чем, ведь план организации сигнализации помещений
>банка наверное не висит в каждом отделении на стене объявлений.Если сигнализация установлена и настроена грамотно, подведено резервное питание и т.д., то план можно хоть в газете печатать - сигнализацию обойти не получится
Угу. Рыцарь без страха и упрека. Настоящий индеец. Гуру администрирования :)
>Угу. Рыцарь без страха и упрека. Настоящий индеец. Гуру администрирования :)Да нет :) Я прекрасно знаю, где и чего надо у меня закрыть и поправить. К сожалению на всё не хватает времени. И я вполне допускаю мысль, что о некоторых вещах мне пока неизвестно. Поэтому я и читаю этот и подобные ему сайты.
Верояно, 57.8% админов всё-таки пользуются гуглом и мозгом...
интересно, у кого тут есть SPF records ??? :-D
У меня есть. Пользы не заметил.
У меня есть, польза есть, когда тупорылые спамеры начнут слать спам якобы от твоего домена тогда заметишь
Где подробнее почитать на эту тему ?
Использую SPF уже год наверное - толк есть.
тоже использую уже как год, как отмывал себя из блеков так и продолжаю отмывать... (это при том, что у меня никого нету в нате и почта тока по авторизации отсылается)имхо отдача от SPF появится, когда им будут пользоватся не тока в днс записи но и на почтовых демонах, а на них SPF из коробки не поддерживаетсо (плуги/патчи ясен пень есть... короч опять возвращаемся к "вменяимому по умолчанию")
Вот кстати рекомендую: http://www.dnsstuff.com/
Чекер зоны - многое вам расскажет и про трансфер и про рекурсию и про spf и даст рекомендации как исправить.
бугагагага
dig @ns.mia.gov.ua mia.gov.ua axfr
> бугагагага
> dig @ns.mia.gov.ua mia.gov.ua axfr+1
Apache/1.3.27 Server at stssrc.mia.gov.ua Port 80