Open DNS - serwer podatny na ataki

[kori 29]

system centos 5, gotowy openvz, centalka voip: trixbox (asterisk+freepbx)

 

dostałem maila od hitme

"Bardzo proszę o sprawdzenie serwera DNS. System wykrył że jest on podatny za kontrole i dzięki temu błędowi można z niego atakować inne serwery. Poniżej jest przedstawiony opis jak i rozwiązanie problemu.

http://www.zytrax.com/books/dns/ch9/close.html"


ale w tej instrukcji nie pisało w jakich plikach dokonac zmian

znalazłem takie coś:
http://forums.serverbeach.com/showthread.php?6351-RedHat-CentOS-HowTo-Close-Open-DNS-Servers

i wg tego wystarczy dodać wewnątrz option (pozostawiłem wszystko co tam było)

allow-recursion{
127.0.0.1;
mojiptutaj;
};

 

caly pliczek

options {
allow-recursion{
127.0.0.1;
mojiptutaj;
};

listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";

// Those options should be used carefully because they disable port
// randomization
// query-source port 53;
// query-source-v6 port 53;

allow-query { localhost; };
allow-query-cache { localhost; };
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
};

[HaPe 242]

Serwerownia zapewne wykryła, że na Twoim IP jest dostępny resolver dns dla każdego. Zastosowanie przesłanych przez Ciebie reguł powinno rozwiązać problem.

[Gość patrys]

Jako lokalny resolver ok.