Open recursive resolver - как закрыть?

123
Andreyka
На сайте с 19.02.2005
Offline
822
#11

Меня всегда поражало, что люди на форуме поисковых систем не умеют ими пользоваться.

Не стоит плодить сущности без необходимости
aprika
На сайте с 05.06.2006
Offline
144
#12
Andreyka:
Меня всегда поражало, что люди на форуме поисковых систем не умеют ими пользоваться.

Если бы все всё умели, у вас не было бы возможности поумничать и набивать посты на форуме поисковых систем. ;)

(◕‿◕)
zexis
На сайте с 09.08.2005
Offline
388
#13

Проверил два своих сервера с помощь nslookup.

На обоих рекурсия ДНС не работает.

Хотя в настройках bind этих строк у меня нет.

options {

allow-recursion { localnets; localhost; };

};

T5
На сайте с 06.07.2006
Offline
100
tw5
#14

iptables -I INPUT -p udp --dport 53 -j DROP -m connlimit --connlimit-above 1
Wservices.ru - регистрация доменов, сервисы (http://wservices.ru) wb0.ru - анализ сайтов и страниц, утилиты для вебмастера (http://wb0.ru)
Андрей
На сайте с 30.09.2009
Offline
487
#15

tw5, зачем?

1. Отключение рекурсии решает вопрос полностью, в отличии от вашего правила;

2. Однажды имел возможность наблюдать за результатом такого правила. Даже при connlimit-above 3 было множество жалоб от посетителей что не могут попасть на сайт.

EuroHoster.org ( https://eurohoster.org/ru/ ) - территория быстрых серверов. Выделенные серверы, VPS, SSL, домены и VPN.
Den73
На сайте с 26.06.2010
Offline
523
#16
zexis:
Проверил два своих сервера с помощь nslookup.
На обоих рекурсия ДНС не работает.

Хотя в настройках bind этих строк у меня нет.
options {
allow-recursion { localnets; localhost; };
};

в свежих версиях отключена по умолчанию

---------- Добавлено 03.01.2014 в 23:56 ----------

WapGraf:
tw5, зачем?

:) костыли в ход пошли.

[Удален]
#17
aprika:
Хостер прислал абузу о том, что виртуальный сервер функционирует как open recursive resolver и поучаствовал а какой-то атаке, "generating large UDP responses to spoofed queries". Если такое повторится, сервер обещают прикрыть :(А как закрыть этот open DNS resolver, каким образом это делается, так чтоб доступ к сайтам обычные посетители не потеряли? В сети одни только тестеры этих Open Resolvers, а как это дело предотвратить, рецептов никто не дает. :(

ОС, если это важно, - centos. Где там эти настройки находятся?

Если используются NS-серверы от регистратора домена или хостинга, можно смело глушить bind и убрать из автозагрузки, или кардинальный и простой способ - удалить его нафиг в месте с удалением всех потенциально открытых в будущем дыр :)

Если CentOS, подключаетесь по SSH и выполняете:

service named stop
yum erase named
y
aprika
На сайте с 05.06.2006
Offline
144
#18

Гопода, советы по отключению рекурсии не помогли: добавление этого правила в настройки на результат теста никак не влияет.

---------- Добавлено 04.01.2014 в 01:40 ----------

WapGraf:
tw5, зачем?
1. Отключение рекурсии решает вопрос полностью, в отличии от вашего правила;
2. Однажды имел возможность наблюдать за результатом такого правила. Даже при connlimit-above 3 было множество жалоб от посетителей что не могут попасть на сайт.

1. Если бы...

как бы то ни было, пока я вижу единственно хоть какой-то результат именно от этой настройки, тем более, что в абузе шла речь про UDP-порты. С доступом на сайт тоже все нормально.

Андрей
На сайте с 30.09.2009
Offline
487
#19

aprika, а вы уверены что рекурсия закрыта?

Да и может дело не в рекурсии, а просто сервер хакнули и льют udp.

aprika
На сайте с 05.06.2006
Offline
144
#20
vois:
Если используются NS-серверы от регистратора домена или хостинга

А если нет? :)

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий