Portál AbcLinuxu, 13. srpna 2025 20:49


Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
25.10.2005 08:40 DJB
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Odpovědět | Sbalit | Link | Blokovat | Admin
Ale gdo dneska používá BIND, že? :-) Flameee ...
25.10.2005 09:12 lubo
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
no, podla prieskumu len nejakych ubohych 77% :-)
25.10.2005 09:13 Zdenek
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Flameee.... Podle te zpravy mam muzu rict, ze BIND pouziva 77% nameserveru z tech 1.3 mio. Tak bud radsi ticho ty 13%-ni a zeptej se na cem bezi vetsina root-serveru a zkus jim doporucit to tve DJB ;-)
25.10.2005 13:20 trancelius | skóre: 22
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
... BIND pouziva 77% nameserveru z tech 1.3 mio. Tak bud radsi ticho ty 13%-ni ...
<rejp>77 + 13 = 90 ... nesedí ti kontrolní součet :))</rejp>
25.10.2005 13:55 lubo
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
naucit sa vsakovake paradne tagy nestaci, treba vediat citat a pocitat. ak si kliknes na linku, kt. uvadza sprava a spocitas cisla v druhom stlpci tablulky nasledovne 57 + 20 + 6.5 + 3.5 + 13 = 100, zistis, ze kontrolny sucet sedi.
25.10.2005 15:12 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Ale notak, rozlišujte mezi root servery, primáry pro minidoménu, sekundáry, případně cache servery pro firmu, apod. To, že se na root-serverech z nějakých důvodů používá bind ještě neznamená, že bind by měl nutně být vrchol světa a to nejlepší super tuper a djb dns úplně naprd, ne? Každý systém je vhodný na něco jiného. Třeba mně osobně je bližší djb-dns, jak stylem konfigurace tak spravováním, ale dovedu si představit použití čistě pro bind. Jenže on je hlavní problém v tom, že si někdy někdo třeba z vypětím sil nainstaloval a zkonfiguroval takový rh 5.2 nebo 6 s tomu odpovídající verzí bindu a od té doby na stroj nešáhnul. A kolik se tam od té doby najde chyb si můžeš domyslet. Na takové použití prostě vhodný není, lepší by bylo mít tam neděravé djbdns.

Jistěže bind má spoustu vlastností od VKS apod. záznamů (samozřejmě že vím, že se dají provozovat i v djbdns, ale jde o princip) po negativní cache, bez kterých se někde neobejdeš, ale ve většině případů je to kanón na vrabce. Pak je lepší volit něco jiného. Je to stejné jako s poštovními servery, také se někde neobejdeš bez sendmailu. Ale ve většině případů stejně sáhneš třeba po qmailu nebo postfixu.

On se spíš bind a sendmail používají trošku ,,jako nutné zlo'' právě kvůli svým vlastnostem které potřebuješ. Ale předpokládá se, že víš proč ho potřebuješ a že ho také budeš udržovat v nějaké aktuální zatím bezpečné verzi. Pokud to většina lidí nedodrží tak se následkům nediv.

PS: Nevíte někdo, kolik procent z toho jsou nějaké bastl widle krámy od klikošů ,,tzv. ajtýček'' bez elementárních znalostí? To by mě dost zajímalo.
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein
25.10.2005 17:33 petr_p
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Docela by mne zajimalo, jak rozpoznavali jednotlive implementace serveru. Pochybuji, ze bind vraci v odpovedi cislo sve verze.

Navic rozdelit bind na 8.X a 9.Y radu je z hlediska bezpecnosti nesmyslne. ISC tvrdi, ze posledni "bezpecne" verze jsou 9.3.1, 9.2.5 a 8.4.6.
25.10.2005 20:43 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Jenže on je hlavní problém v tom, že si někdy někdo třeba z vypětím sil nainstaloval a zkonfiguroval takový rh 5.2 nebo 6 s tomu odpovídající verzí bindu a od té doby na stroj nešáhnul. A kolik se tam od té doby najde chyb si můžeš domyslet. Na takové použití prostě vhodný není, lepší by bylo mít tam neděravé djbdns.

To není problém BINDu ale systémáka a v takovém případě nepomůže žádný nameserver. Tady pomůže jen odpojit ten počítač od sítě, nejlépe i elektrické…

Osobně je mi milejší BIND, který se ve skutečnosti co do (ne)bezpečnosti v současné době nijak nevymyká z průměru srovnatelných programů, než program, který porušuje všemožná myslitelná i nemyslitelná RFC, protože jeho autor dává přednost vlastním představám, jak by DNS mělo fungovat, před specifikacemi… Většina lidí si ale bohužel pod označením BIND představí hrůzostrašné zkazky z dob verze 4 a neuvědomí si, že dnes jsme ve vývoji trochu dál a že tehdy navíc ani žádný slavný djbdns neexistoval, takže srovnávání dnešního djbdns s tehdejším bindem (které FUDaři s oblibou produkují) je bezpředmětné. Prakticky totéž platí i o podobně proslulém sendmailu…

25.10.2005 22:57 DJB
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Ok. Fajn. Chytli jste se. :-) Končím tuto flame.
25.10.2005 10:15 peter
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Odpovědět | Sbalit | Link | Blokovat | Admin
Mňa by skôr zaujímalo, ako zistím, že môj DNS server je v poriadku nakonfigurovaný a bezpečný. Predpoklad je, že je všetko OK, ale predsa len nemôžem vedieť všetko.
30.10.2005 09:36 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: Většina DNS zřejmě napadnutelná
Odpovědět | Sbalit | Link | Blokovat | Admin
Only 60% of the name server records delegating each zone matched the intrazone name server records . Mis-matched records may decrease the number of servers available for resolution, reduce redundancy, increase load, and leave a zone susceptible to denial of service attacks.
Co presne tohle znamena?
Hlasuj pro zavedení OpenID na Abclinuxu!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.