1. 首页
  2. 问答
  3. powerdns响应查询挖掘。 NS @yournameserver

powerdns响应查询挖掘。 NS @yournameserver

2011-11-23 67 views
0

我被告知有关以下查询的安全问题: dig。 NS @yournameserver 我找不到它是否会影响我的powerdns版本2.9.22-3以及如何防止对该查询作出响应。powerdns响应查询挖掘。 NS @yournameserver

我的DNS服务器上面的查询响应:

; <<>> DiG 9.7.3-P3 <<>> . NS @XX.XX.XX.XX 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49208 
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13 
;; WARNING: recursion requested but not available 

;; QUESTION SECTION: 
;.    IN NS 

;; ANSWER SECTION: 
.   3600 IN NS A.ROOT-SERVERS.NET. 
.   3600 IN NS B.ROOT-SERVERS.NET. 
.   3600 IN NS F.ROOT-SERVERS.NET. 
.   3600 IN NS G.ROOT-SERVERS.NET. 
.   3600 IN NS E.ROOT-SERVERS.NET. 
.   3600 IN NS C.ROOT-SERVERS.NET. 
.   3600 IN NS D.ROOT-SERVERS.NET. 
.   3600 IN NS J.ROOT-SERVERS.NET. 
.   3600 IN NS K.ROOT-SERVERS.NET. 
.   3600 IN NS L.ROOT-SERVERS.NET. 
.   3600 IN NS I.ROOT-SERVERS.NET. 
.   3600 IN NS H.ROOT-SERVERS.NET. 
.   3600 IN NS M.ROOT-SERVERS.NET. 

;; ADDITIONAL SECTION: 
H.ROOT-SERVERS.NET. 3600 IN A 128.63.2.53 
B.ROOT-SERVERS.NET. 3600 IN A 128.9.0.107 
A.ROOT-SERVERS.NET. 3600 IN A 198.41.0.4 
K.ROOT-SERVERS.NET. 3600 IN A 193.0.14.129 
G.ROOT-SERVERS.NET. 3600 IN A 192.112.36.4 
F.ROOT-SERVERS.NET. 3600 IN A 192.5.5.241 
D.ROOT-SERVERS.NET. 3600 IN A 128.8.10.90 
J.ROOT-SERVERS.NET. 3600 IN A 198.41.0.10 
I.ROOT-SERVERS.NET. 3600 IN A 192.36.148.17 
L.ROOT-SERVERS.NET. 3600 IN A 198.32.64.12 
C.ROOT-SERVERS.NET. 3600 IN A 192.33.4.12 
E.ROOT-SERVERS.NET. 3600 IN A 192.203.230.10 
M.ROOT-SERVERS.NET. 3600 IN A 202.12.27.33 

;; Query time: 62 msec 
;; SERVER: XX.XX.XX.XX#53(XX.XX.XX.XX) 
;; WHEN: Wed Nov 23 12:58:44 2011 
;; MSG SIZE rcvd: 449

来源

2011-11-23 bastardz

回答

0

你在挖输出被称为根转诊看到了什么,这基本上意味着要查询的域名服务器已内置或配置的IP知识13个根名称服务器的地址,并且不会让查询它的客户知道,就像它将配置其他任何区域一样。

只有一个安全问题,我可以想象在响应IN NS查询的名称服务器基于它配置的数据是DNS查询产生的字节数少于相应的答案,就像我们在以上输出,因此权威或公共递归DNS服务器可以用作DoS放大器。

您可以通过在授权名称服务器上为根区域提供数据来阻止上述输出。

来源

2011-11-23 22:30:24 ZaphodB

0 
send-root-referral | --send-root-referral=yes | --send-root-referral=no | --send-root-referral=lean

如果设置,PowerDNS将发出老式根推荐查询时,对于它是不是权威域 。浪费一些 带宽,但可以解决传入的查询洪泛,如果域名被授予 给你,你不是权威的,但被 破坏的recursors查询。自2.9.19起可用。

从2.9.21开始,可以指定'精益'根引用,其中 会浪费更少的带宽。

我建议将此选项设置为= no或= lean。

来源

2011-11-24 17:21:54 Habbie

+0

我已将send-root-referral no/lean添加到pdns.conf,然后使用此工具http://isc.sans.edu/dnstest.html进行了测试。仍然显示我“不好,你的名字服务器对查询做出了回应” – bastardz

+0

当你将它设置为= no时,它显示的是什么输出? – Habbie

+0

与上述相同的输出 – bastardz

相关问题

 相关问题