22
Апр
0

Проверка рекурсии, перенаправлении запросов DNS ( CENTOS)

tcpdump proto UDP -n
рекурсивно перенаправлять запросы на другие домены (серверы) должно быть запрещено

Для проверки рекурсии нужно  запросить у нашего ДНС сервера сведения о другом домене ( не входящем в наши зоны обслуживания:

host -a ya.ru ns1.mac7.ru

или

dig -t all ya.ru @ns1.mac7.ru
Ответ защищенного сервера (не поддерживающего рекурсию):

[root@gw-parfum etc]# host -a ya.ru 213.187.101.20
Trying «ya.ru»
Received 23 bytes from 213.187.101.20#53 in 4 ms
Trying «ya.ru»
Using domain server:
Name: 213.187.101.20
Address: 213.187.101.20#53
Aliases:

Host ya.ru not found: 5(REFUSED)
Received 23 bytes from 213.187.101.20#53 in 3 ms

Если наш сервер выдает подробную информацию о домене, то наш сервер уязвим.

Рекурсию надо отключить.

options {
recursion no;
};
Обычно для внешней зоны.
Enjoyed reading this post?
Subscribe to the RSS feed and have all new posts delivered straight to you.

Comments are closed.

Celadon theme by the Themes Boutique