DNS

Dan Lukes dan at obluda.cz
Tue Dec 9 23:45:40 CET 2003
Previous message: DNS
Next message: DNS
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Roman Neuhauser napsal/wrote, On 12/09/03 13:25:
>> 	Co lze zakazat bez nebezpeci (respektive, co lze povolit jen 
>> 	omezenmu okruhu lidi) jsou "rekurzivni dotazy". Dotazy tykajici se primo 
>> delegovanych domen se tak vyridi, protoze ty se nevyrizuji rekurzivne, 
>> ostatni dotazy se vyrozivat nebudou (nebo budou jen pro omezeny okruh lidi).
>  
>     to je velice spatny napad; zvlast v kombinaci s pochybnych chovanim
>     BINDu.
>     
>     minuly tyden jsem resil problem s resolvery publikovanymi Eurotelem
>     pro svoje GPRS zakazniky. 2. prosince jsem dostal stiznost od

	No, pokud jsem pochopil cely popsany problem, tak hacek byl v toim, ze 
jeden resolver byl down (coz je jiste vada, ktera neni vyhrazena pouze 
jednomu software) a druhy byl nerekurzivni nebot' byl chybe 
nakonfigurovany - a chybna konfigurace mi take nepriada byt problem 
konretniho software.

	Celkove soudim, ze problem je v nekompetenci odpovednych lidi a z 
popisu neplyne cokoliv, co by se dalo oznacit za "pochybne chovani BINDu".

>     Tohle chovani je primo vrazedne, protoze podporuje mezi lidmi zmatek
>     ohledne ruznych roli name serveru (rikejme jednomu server a druhemu
>     cache, nikdo prece nerika Squidu web server), a muzu se jenom
>     dohadovat, jakym zpusobem se 194.228.2.1 ocitla na te strance
>     (nicmene s vetou "to je jedno, dejte si tam treba name servery
>     volneho" uz jsem se od "pocitacovych odborniku" taky slysel).

	Pri vsi ucte, neni ukolem "lidi" aby chapali ruzne funkce nameserveru. 
To je zalezitosti spravce site, coz je odbornik, kteremu by takove veci 
nemely delat zasadni problem. Zrovna v tomhle pripade je nicmene zrejme, 
proc to "lidi" nechapou.

	DNS je protokol - a tim se mluvi jak na primarni nameservery, tak na 
jakekoliv nameservery a resolvery. No a nekteri autori implementuji v 
jednom daemonu cely tento protokol (BIND), jini se to rozhodli rozhazet 
do vice daemonu (DJBDNS).

	Podobne je na tom protokol HTTP, kterym se mluvi jak na WWW servery tak 
na proxy. Nekteri autori napsali pouze WWW server (treba 
Microsoft/MSIE), jini pouze proxy (Squid) a jini maji oboji schopnost v 
jednom baliku (Apache).

	Chapu, ze "lidi" nerozlisuji SMTP a EMAIL, HTTP a WWW server, DNS a 
autoritativni server, ale odbornik - a predpokladam, ze site spravuje 
odbornik - by to samozrejme rozlisuje a o zadnem zmateni nemuze byt reci.

	Ostatne, popsany priklad nevznik ze zadneho zmateni. Zadny ze 
jmenovanych spravcu si ulohy serveru nepletl.

	Ti se nechci nijak zvlast zastavat BINDu - jen trvam na tom, ze je 
treba odlisovat chyby softwaru od chyb vzniklych tim, ze nekdo pouziva 
software ac (ten konkretni software) neumi nakonfigurovat.


>> Co se DJBDNS tyce - mozna mam uz zastarale nebi chybne onformace, 
>> ale mel jsem dojem, ze ono neumi na jednom stroji byt soucasne 
>> autoritativnim nameserverem pro nejakou domenu a soucasne rekurzivnim 
>> nameserverem slouzicim koncovym stanicim. Pokud je to pravda, pak muze 
>> Tomas DJBDNS pouzit jen v pripade, ze zminene DNS nepouzivaji nejaci 
>> uzivatele jako resolver.
> 
>     djbdns je balik nekolika demonu, z nichz dva se pripojuji na 53/UDP:
>     dnscache (rekurzivni cache) a tinydns (autoritativni server). na
>     jednom stroji muzete mit tolik bezicich tinydns nebo dnscachi, kolik
>     mate IP adres.

	Takze jsem si to pamatoval dobre, ale spatne to vyjadril.

	Pokud nemate vice IP adres, nemuzete, pri pouziti DJBDNS na jednom 
stroji soucasne provozovat resolver pro uzivatele a soucasne 
autoritativni nameserver.

					Dan




-- 
Dan Lukes     tel: +420 2 21914205, fax: +420 2 21914206
root of  FIONet, KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
Previous message: DNS
Next message: DNS
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list