Strona 1 z 1

DNS - too many timeouts resolving

: 11 listopada 2008, 20:12
autor: wozi
Co mam nie tak widząc często takie logi?

Kod: Zaznacz cały

...named[17268]: too many timeouts resolving 'kirdan.warman.nask.pl/AAAA' (in 'warman.nask.pl'?): disabling EDNS
...named[17268]: too many timeouts resolving 'kirdan.warman.nask.pl/A' (in 'warman.nask.pl'?): disabling EDNS
...named[17268]: lame server resolving '139.145.41.64.in-addr.arpa' (in '145.41.64.in-addr.arpa'?): 209.83.162.35#53
...named[17268]: lame server resolving '139.145.41.64.in-addr.arpa' (in '145.41.64.in-addr.arpa'?): 209.83.162.35#53

: 11 listopada 2008, 22:24
autor: Lukeman
Zgaduję, że masz binda w wersji 9.5?
Obsługuje on EDNS, które zezwala na używanie pakietów DNS UDP dłuższych niż 500bajtów. Z drugiej strony firewall zakłada, że pakiet DNS UDP nie może być dłuższy niż wspomniane 500bajtów i dlatego go nie przepuszcza.

Rozwiązaniem może być dodanie następujących lini w
/etc/named.conf lub
/var/named/chroot/etc/named.conf :

Kod: Zaznacz cały

logging {
category lame-servers {null; };
category edns-disabled { null; };

}; 
Innych sposobów obejścia tego nie udało mi się na razie znaleźć, więc nie pozostaje nam chyba nic innego jak poczekać aż regułą stanie się stosowanie pakietów DNS UDP większych niż 500bajtów :)

: 11 listopada 2008, 23:24
autor: miras_w
a mnie denerwuje to:

Kod: Zaznacz cały

/etc/bind/named.conf.options:35: using specific query-source port suppresses port randomization and can be insecure.
linia 35 mam tak:

Kod: Zaznacz cały

 query-source address * port 53;

: 12 listopada 2008, 00:08
autor: Lukeman
zamień
query-source address * port 53;
na
query-source address * port *;
szczegóły:
http://www.debian.org/security/2008/dsa-1603
pkt. 3
jeżeli coś przestanie działać to trzeba zastosować się do wszystkich instrukcji :)

Ogólnie chodzi o to żeby utrudnić phishing przy użyciu zatruwania DNS dzięki zmianie portu wysyłającego zapytania DNS