DNS Bordel

[shooter]

Co to je ?

[net.work]

co to mas za verzi ros? mam pocit ze ta chyba byla opravena relativne nedavno - jinak da se to elegantne resit tak, ze nastavis max TTL treba na 5min

[shooter]

5.22

[shooter]

verze 6.10 a bordel je tam stale co s tím kde se to tam bere ??

[Dalibor Toman]

verze 6.10 a bordel je tam stale co s tím kde se to tam bere ??

MT jako DNS server nepouzivam, ale to co v tom vypisu vidim mi pripada jako bezne kesovana jmena, ktera nesla zresolvit (t zrejme nasnacuje to Nko vlevo = asi negative cache). A aby to priste zase netimeoutovalo a nezdrzovalo tak jsou v cache a klient dostane info o tom, ze to nejde hned
To ze, se neco pta na na takovyhle nesmyslny jmena je uz vec jina...

[bSir]

verze 6.10 a bordel je tam stale co s tím kde se to tam bere ??

MT jako DNS server nepouzivam, ale to co v tom vypisu vidim mi pripada jako bezne kesovana jmena, ktera nesla zresolvit (t zrejme nasnacuje to Nko vlevo = asi negative cache). A aby to priste zase netimeoutovalo a nezdrzovalo tak jsou v cache a klient dostane info o tom, ze to nejde hned
To ze, se neco pta na na takovyhle nesmyslny jmena je uz vec jina...

Google chrome se pri spousteni rado pta na nesmyslna jmena...

[Majklik]

Hlavně tam žádný podivný bordel není, naprosto normální položky, co dneska v DNS létají, hlavně na úrovni lokalního LAN DNS. Zde jen ty dotazy utíkají od nějakého zákoše asi na to jeho resolver, což by nemělo.
Vždyť na začátku má hledání zpětného překladu jména k IP adrese 3x. To _minecraft je normální dotaz pro dynamické hledání čísla portu s Minecraftem na dané doméně, pak ta řada _dns-sd jsou dotazy, které běhají při používání multicast DNS, možná má tam někdo něco jablečného, ty to v základu používají.
Pak ty dotazy na primárni doméínu nhkz, pokud tam má připojenou firmu třeba toho jména, tak ji mají nastavenu jako lokální DNS doménu pro provoz microsoft AD (i když správněji by to mělo být nhkz.local, po novu doporučená globálně existující doména) a dotazy prochájí k němu od nich z lokálu (což by správně nemělo). V té doméně se hledá řada celkem logických služebních jmen a jmen lokálních počítačů a jsou asi i ne/štastní majitele multifunkční tiskárny Brother.

Ano, to Nko vpředu znamená negativní cache nenalezených položek.

[whef]

Taky s tím máme problém, že nám asi mikrotiky dělají nějaké útoky na dns. Kloudné řešení kromě upgradu mikrotiku, zakázání přístupu z webu atd.

[douby]

neopomíjejte fakt, že mikrotik, v případě že zaškrtnete allow remote request, odpovídá na všech IP adresách, které má - tedy i na veřejných. celý svět se pak může dotazovat vašeho Mk a boti si na něm co nevidět jistě rádi smlsnou.

[Dalibor Toman]

neopomíjejte fakt, že mikrotik, v případě že zaškrtnete allow remote request, odpovídá na všech IP adresách, které má - tedy i na veřejných. celý svět se pak může dotazovat vašeho Mk a boti si na něm co nevidět jistě rádi smlsnou.

muzu dorucit tento Perl skript:
https://gist.github.com/bitfolk/4492358

a probehnout si jim verejne rozsahy. U nas necele 3% zakaznickych IP maji opend DNS resolver. A to to zdaleka vsichni nemaji PCcka/routery zapnute

[whef]

neopomíjejte fakt, že mikrotik, v případě že zaškrtnete allow remote request, odpovídá na všech IP adresách, které má - tedy i na veřejných. celý svět se pak může dotazovat vašeho Mk a boti si na něm co nevidět jistě rádi smlsnou.

Oka jak to máš nastaveno jestli můžeš poradit ?

[douby]

1) Blokujeme dns dotazy z cizích ip.
2) Blokujeme pokusy o ip spoofing, aby bod 1) nebyl pro srandu králíkům.

Konkretni konzultace je možná telefonicky nebo osobně. Sedím v kanclu většinou od 8 do 16h

[ikk]

douby: Můžeš prosím zde nastínit, jak by takové pravidlo na bráně mělo vypadat? Ne všichni tady jsme MK guru. Nechám si rád (a určitě nejen já) poradit.

[hapi]

že by: input drop dst port 53 in-interface wan

to jste ISPíci?

[whef]

že by: input drop dst port 53 in-interface wan

to jste ISPíci?

Toto právě nestačí. Je to jak pro UDP tak TCP