Por que meu novo servidor de cache DNS já está ativo?

Navegue suas respostas
3

Acabei de configurar com êxito o BIND para atuar como um servidor de armazenamento em cache e estou obtendo informações diretamente dos 13 servidores raiz (como um arquivo de dicas) em vez de usar encaminhadores dos servidores DNS de outra pessoa.

Meu arquivo named.conf inclui o seguinte: 

    options {
         listen-on port 53 { 127.0.0.1; 10/8; };
         allow-query     { localhost; 127.0.0.1; 10/8; };
         {snip}
    }
    zone "." IN {
                type hint;
                file "named.ca";
    };

Ainda não pronto para implantá-lo para o público em geral, iniciei o BIND pensando que apenas apontaria o adaptador de rede do meu computador para usá-lo como o novo servidor DNS. Testei-o para ter certeza de que funcionava e, em seguida, dei o endereço IP a alguns colegas com experiência em tecnologia para começar a usá-lo também, para poder monitorar esse novo servidor em funcionamento nos próximos dois dias.

Mas o que realmente me confunde é isso: Eu tenho executado o dnstop nos últimos 10 minutos, e vejo que temos pelo menos 18 dispositivos conversando com o servidor, e mais de 2.000 consultas já foram feitas por vários dispositivos que não foram informados sobre o novo servidor DNS.

Obviamente eu disse para ouvir em toda a nossa rede 10/8. Mas eu pensei que precisaríamos configurar nossos roteadores (feitos pelo nosso engenheiro de rede, não eu) para fazer com que todos conversassem com esse novo servidor DNS.

Há algo de explícito que estou entendendo mal sobre como o DNS funciona e como os dispositivos fazem consultas DNS? Minhas observações indicam-me que este novo servidor BIND está "transmitindo" a si mesmo de modo que vários - se não todos - dispositivos da rede estão cientes disso.

    
por David W 10.01.2012 / 20:51

2 respostas

1

As atribuições do servidor DNS no DHCP são fornecidas pelo servidor DHCP - não pelos roteadores especificamente. Generally falando, você está correto, um servidor DNS que ninguém é informado sobre apenas fica lá. No entanto: Muitos computadores com vírus neles podem enviar muitas consultas de DNS para muitos IPs diferentes, a fim de encontrar vulnerabilidades e assim por diante. Os dispositivos que fizeram consultas, existe alguma maneira de descobrir quais são essas consultas? Isso lhe daria algumas dicas sobre o que está acontecendo.

    
por 10.01.2012 / 23:19
0

O Bind não transmite sua existência. É possível que seu endereço IP tenha sido listado como o servidor de nomes em algumas configurações.

Também é possível que algum Malware esteja pesquisando seu servidor DNS. Existem algumas maneiras de ver o que está sendo solicitado.

  • Habilite o registro de consultas no seu servidor de ligação.
  • Use tcpdump ou outro sniffer de pacote para capturar as consultas recebidas.

Em seguida, você precisará determinar se essas são consultas legítimas ou não. Se as solicitações parecem ter um endereço de origem que não pode atingir seu servidor diretamente, é como se o malware estivesse enviando as consultas. Para consultas UDP, você não pode necessariamente confiar no endereço de origem. Endereços de origem falsos foram usados para iniciar ataques do DOS em servidores.

    
por 10.01.2012 / 23:28

Tags

Atualize remotamente o Adobe Reader no Mac OS X do terminal arquivo permissões segurança apache