1. 首頁
  2. 問答
  3. powerdns響應查詢挖掘。 NS @yournameserver

powerdns響應查詢挖掘。 NS @yournameserver

2011-11-23 66 views
0

我被告知有關以下查詢的安全問題: dig。 NS @yournameserver 我找不到它是否會影響我的powerdns版本2.9.22-3以及如何防止對該查詢作出響應。powerdns響應查詢挖掘。 NS @yournameserver

我的DNS服務器上面的查詢響應:

; <<>> DiG 9.7.3-P3 <<>> . NS @XX.XX.XX.XX 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49208 
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13 
;; WARNING: recursion requested but not available 

;; QUESTION SECTION: 
;.    IN NS 

;; ANSWER SECTION: 
.   3600 IN NS A.ROOT-SERVERS.NET. 
.   3600 IN NS B.ROOT-SERVERS.NET. 
.   3600 IN NS F.ROOT-SERVERS.NET. 
.   3600 IN NS G.ROOT-SERVERS.NET. 
.   3600 IN NS E.ROOT-SERVERS.NET. 
.   3600 IN NS C.ROOT-SERVERS.NET. 
.   3600 IN NS D.ROOT-SERVERS.NET. 
.   3600 IN NS J.ROOT-SERVERS.NET. 
.   3600 IN NS K.ROOT-SERVERS.NET. 
.   3600 IN NS L.ROOT-SERVERS.NET. 
.   3600 IN NS I.ROOT-SERVERS.NET. 
.   3600 IN NS H.ROOT-SERVERS.NET. 
.   3600 IN NS M.ROOT-SERVERS.NET. 

;; ADDITIONAL SECTION: 
H.ROOT-SERVERS.NET. 3600 IN A 128.63.2.53 
B.ROOT-SERVERS.NET. 3600 IN A 128.9.0.107 
A.ROOT-SERVERS.NET. 3600 IN A 198.41.0.4 
K.ROOT-SERVERS.NET. 3600 IN A 193.0.14.129 
G.ROOT-SERVERS.NET. 3600 IN A 192.112.36.4 
F.ROOT-SERVERS.NET. 3600 IN A 192.5.5.241 
D.ROOT-SERVERS.NET. 3600 IN A 128.8.10.90 
J.ROOT-SERVERS.NET. 3600 IN A 198.41.0.10 
I.ROOT-SERVERS.NET. 3600 IN A 192.36.148.17 
L.ROOT-SERVERS.NET. 3600 IN A 198.32.64.12 
C.ROOT-SERVERS.NET. 3600 IN A 192.33.4.12 
E.ROOT-SERVERS.NET. 3600 IN A 192.203.230.10 
M.ROOT-SERVERS.NET. 3600 IN A 202.12.27.33 

;; Query time: 62 msec 
;; SERVER: XX.XX.XX.XX#53(XX.XX.XX.XX) 
;; WHEN: Wed Nov 23 12:58:44 2011 
;; MSG SIZE rcvd: 449

來源

2011-11-23 bastardz

回答

0

你在挖輸出被稱爲根轉診看到了什麼,這基本上意味着要查詢的域名服務器已內置或配置的IP知識13個根名稱服務器的地址,並且不會讓查詢它的客戶知道,就像它將配置其他任何區域一樣。

只有一個安全問題,我可以想象在響應IN NS查詢的名稱服務器基於它配置的數據是DNS查詢產生的字節數少於相應的答案,就像我們在以上輸出,因此權威或公共遞歸DNS服務器可以用作DoS放大器。

您可以通過在授權名稱服務器上爲根區域提供數據來阻止上述輸出。

來源

2011-11-23 22:30:24 ZaphodB

0 
send-root-referral | --send-root-referral=yes | --send-root-referral=no | --send-root-referral=lean

如果設置,PowerDNS將發出老式根推薦查詢時,對於它是不是權威域 。浪費一些 帶寬,但可以解決傳入的查詢洪泛,如果域名被授予 給你,你不是權威的,但被 破壞的recursors查詢。自2.9.19起可用。

從2.9.21開始,可以指定'精益'根引用,其中 會浪費更少的帶寬。

我建議將此選項設置爲= no或= lean。

來源

2011-11-24 17:21:54 Habbie

+0

我已將send-root-referral no/lean添加到pdns.conf,然後使用此工具http://isc.sans.edu/dnstest.html進行了測試。仍然顯示我「不好,你的名字服務器對查詢做出了迴應」 – bastardz

+0

當你將它設置爲= no時,它顯示的是什麼輸出? – Habbie

+0

與上述相同的輸出 – bastardz

相關問題

 相關問題