sslug-teknik team mailing list archive

[torben fjerdingstad <tfj@xxxxxxxxxxxxxxx>]

X-OS: GNU/Linux

Preben Bille Brahe skrev:

> - pbb.dk kunne ikke findes - men pi.dk (som pbb.dk er hostet hos - samme
> ip#) virkede fint.
> 
> - www.netcraft.com virkede - men ikke uptime.netcraft.com, som jeg i
> feberhede prøvede at få til at checke URL'er der ikke virkede direkte
> fra mig.
> 
> Som sagt, problemet blev løst søndag, da jeg skiftede tilbage til den
> "rigtige" ISP (bemærk - stadig samme DNS !) - men jeg er fortsat
> nysgerrig efter at vide hvorfor disse serveres svar ikke er godt nok,
> hvis man bruger dem "udefra" ? Et dump med Ethereal viste at de svarede
> - og så vidt jeg kunne dømme også korrekt...

Det er nogenlunde enkelt.

Der er garanteret begrænsning på rekursive queries hos
cybercity.

Når man har en navneserver, vil man i så vid udstrækning som muligt
beskytte den imod cache forurening.

Derfor konfigurerer man navneserveren så den kun laver
rekursive opslag for de forespørgsler der kommer "indefra",
d.v.s. fra ISP'en selv eller dens kunder.

For alle andre, vil den kun svare på det den selv er autoritativ
for, f.eks. cybercity.dk. Det er den jo nødt til, eller ville
opverdenen ikke kunne finde noget i cybercity.dk.

Hvis den lavede rekursive opslag for alle queries, ville det
kunne udnyttes af en hacker, f.eks. ved at overtage en af
netbanks navneservere og DOS'e de andre så de ikke svarer.
Herefter retter de IP adressen på www.netbank.com så den
peger på en af deres egne servere Og når du derefter benytter
din netbank, aner du ikke at du faktisk først bliver
dirigeret gennem en sniffer proxy.

Jaja. Det kan forklares meget meget bedre.
-- 
torben fjerdingstad        | GNU/linux-2.4.0
tfj@xxxxxxxxxxxxxxx