■掲示板に戻る■ 1- 最新10



レス数が1000を超えています。残念ながら全部は表示しません。

BIND全般

[112:名無しさん@お腹いっぱい。 (01/11/14 14:53)]
http://pc.2ch.net/test/read.cgi/sec/1000359447/395
にも書いたんだけど、DION の dns server から変な
UDP port に大量の access が。

scandetd によると、
dns4.dion.ne.jp 210.172.64.112
I've counted 53 connections.
First connection was made to 3619 port at Tue Nov 13 15:05:43 2001
Last connection was made to 3619 port at Tue Nov 13 15:09:01 2001

I've counted 44 connections.
First connection was made to 3867 port at Tue Nov 13 17:17:23 2001
Last connection was made to 3867 port at Tue Nov 13 17:19:28 2001

I've counted 40 connections.
First connection was made to 4092 port at Tue Nov 13 17:58:06 2001
Last connection was made to 4094 port at Tue Nov 13 17:58:39 2001

I've counted 43 connections.
First connection was made to 2143 port at Wed Nov 14 14:33:54 2001
Last connection was made to 2149 port at Wed Nov 14 14:36:08 2001

dns1.dion.ne.jp 210.141.108.226
I've counted 46 connections.
First connection was made to 3619 port at Tue Nov 13 15:05:43 2001
Last connection was made to 3619 port at Tue Nov 13 15:09:01 2001
とのこと。


あ、named.conf で query-source address * port 53 しても、source
port が 53 に固定されるだけで、変な port には acccess してこないやん…。

[113:名無しさん@お腹いっぱい。 (01/11/14 15:40)]
>>112
それって BIND とか DNS と関係あるの?
dns*.dion.ne.jp からのアクセスだからといって DNS のアクセスとは限らんでしょ?

[114:名無しさん@お腹いっぱい。 (01/11/14 16:07)]
>>113
確かにそだね。

ただ、DION の DNS server からこんな request 来たこと
今までなかったし、DION の DNS server が crack
されたっていう話も聞かないし…。

どんな内容なのか log を取っておいていなかったのが
まずかったなぁ。

[115:名無しさん@お腹いっぱい。 (01/11/14 16:12)]
DNS queryがtimeoutした後で返事が返ってきてるってことはない?

[116:113 (01/11/14 16:14)]
>>114
でも port 53 にきたわけじゃないから log とっても DNS query かどうかも
わからないよね。いやそうでもないか。packet の中身調べたらわかるな。

じゃそういうことで頑張ってくれ。

[117:名無しさん@お腹いっぱい。 (01/11/14 16:22)]
>>115
う〜ん、port を変えて2分間に43connection
とか張らない思うよ。

>>116
そそ。scandetd だと packet の中身まで log を取る機能
はなかったと思うので、UDP 53 以外に dns*.dion.ne.jp
から来る packet を capture するように tcpdump を設定
しますか…。

[118:名無しさん@お腹いっぱい。 (01/11/14 18:37)]
CIDRの逆引きがみっともないってのは確かだが、破綻ってのは言い過ぎでは?
使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。

あとrfc2317は個人的に気にくわんので。(w
rfc2181は間違っちゃいないと思うが、それを言い訳にrfc1035を無視するのは
なんつーか。

[119:名無しさん@お腹いっぱい。 (01/11/14 18:38)]
ううむ。ヲレが管理していなかった mail server の log
を見たら、DION から SMTP の不正中継要求の嵐…。
ってことは、例の UDP request が IP address spoofing
か、実際に DION の DNS が crack されたかのどちらか
って可能性が高いなぁ。

http://www.dion.ne.jp/news/shougai.html を見ても
それらしいことは書いていないんだけど。

[120:名無しさん@お腹いっぱい。 (01/11/14 18:42)]
つーか逆引きってどうよ?

[121:名無しさん@お腹いっぱい。 (01/11/14 19:00)]
>>120

いらない。と個人的には思ってる。安直な考え?

次10 前10 最新10

read.cgi ver5.26+ (01/10/21-)