Сегодня я получил жалобу на злоупотребление своим DNS-сервером.
Перевод любезно предоставлен Froggiz
Здравствуй,
CERT-FR был проинформирован одним из его партнеров о том, что один или несколько серверов доменных имен (DNS), указанные ниже, не проверяют источник IP для протокола передачи «зоны AXFR».
ID, домен, сервер имен, IP-адрес, страна 329872, mydomain.com, ns1.mydomain.com., 101.51.251.156, FR 329872, mydomain.com, ns2.mydomain.com., 101.51.251.156, FR
Следовательно, любой может получить все записи DNS и размещенный домен на этом DNS.
Вы можете найти дополнительную информацию и помощь по следующей ссылке: http://www.cert.ssi.gouv.fr/site/CERTA-2012-ACT-048/CERTA-2012-ACT-048.html
Вы обязаны проверить достоверность этой информации и принять соответствующие меры по исправлению положения.
CERT-FR в вашем распоряжении для получения дополнительной информации или советов.
вот жалоба, ее французский!
Bonjour,
Le CERT-FR a été informé par l'un de ses partenaires que le ou les
serveurs de noms (DNS) ci-dessous n'effectuent pas de validation de
l'adresse IP source lors de l'utilisation du protocole de transfert de
zone AXFR :
ID,Domain,Name server,IP address,Country
329872,mydomain.com,ns1.mydomain.com.,101.51.251.156,FR
329872,mydomain.com,ns2.mydomain.com.,101.51.251.156,FR
Par conséquent, n'importe qui est en capacité de récupérer l'intégralité
des informations DNS du ou des domaines hébergés sur ce ou ces serveurs
de noms.
Vous pourrez trouver des informations complémentaires à l'aide du lien
suivant :
http://www.cert.ssi.gouv.fr/site/CERTA-2012-ACT-048/CERTA-2012-ACT-048.html
Il vous revient de vérifier la véracité de cette information et de
prendre les mesures de correction adaptées.
Le CERT-FR se tient à votre disposition pour toute information ou
conseil complémentaires.
Cordialement,
На моем сервере для DNS я использую Bind9:
вот его моя конфигурация привязки:
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { 127.0.0.1; 101.51.251.156;}; ### Master DNS IP ###
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any;}; ### IP Range ###
// allow-recursion {"none";};
//allow-transfer{ localhost; 101.51.251.156; }; ### Slave DNS IP ###
/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion no;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "mydomain.com" IN {
type master;
file "mydomain.com.zone";
allow-update { none; };
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
И мой файл зоны:
$TTL 86400;
@ IN SOA ns1.mydomain.com. admin.mydomain.com. (
2010062801 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum
)
mydomain.com. IN NS ns1.mydomain.com.
mydomain.com. IN NS ns2.mydomain.com.
mydomain.com. IN A 101.51.251.156
ns1.mydomain.com. IN A 101.51.251.156
ns2.mydomain.com. IN A 101.51.251.156
www.mydomain.com. IN A 101.51.251.156
ftp.mydomain.com. IN A 101.51.251.156
mail.mydomain.com. IN A 101.51.251.156
*.mydomain.com. IN A 101.51.251.156
mydomain.com. IN MX 10 mail.mydomain.com.
Я хочу знать, что я делаю не так и что мне делать, чтобы решить эту проблему
Заранее спасибо
Вы удалили allow-transfer директиву из вашей конфигурации, таким образом, любой человек в мире может загрузить весь ваш файл зоны.
Является ли это проблемой, зависит от того, нужно ли вам сохранять конфиденциальность этой информации.