[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00390] Re: port:10008

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00390] Re: port:10008
From: Hiroshi Tsukamoto <hirobo-ml@xxxxxxx>
Date: Tue, 15 May 2001 20:47:01 +0900



塚本です

Seiichi Nakashima <nakasei@xxxxxxxxxxxx> wrote:

> 一般にDNSへのアクセスは、UDP/53 と TCP/53 です。
> しかし、TCP/53を利用するのは上記説明にある３つの場合です。
> (1) ゾーン転送
> (2) 484バイト以上のリクエスト
> (3) ロードバランシングパケット

tinydns(djbdnsのドメイン情報管理サーバ)は53/udpしか受
けつけません。(ゾーン転送やtcpのクエリを受けつけるには
別のモジュール(axfr)を動かします)

自分の使っている範囲ではtcpを受けないことによる問題と
いうのは発生していません。

53/tcpのログを見てもゾーン転送と、ろくでもないアクセス
だけなので、一時期セカンダリ相手以外のものはルータで落
していました。(セカンダリ換えたときに忘れていてハマっ
たんで、ちょっと戻したついでにsnortで観察してみてます)

そんなことから53/tcpをセカンダリ相手以外に通す必要は無
いと思います。

# tcpでしか聞いてこない変な実装を使うようなとこには、
# 教えてあげなくて良いのだ。:-)

> bind-8.2.3に対するひとつの安全対策として検討する価値はあると思います。

その通りだと思います。あとインターネットクラス以外
(CHAOSとか)の問いあわせや、再帰問い合わせに応じる必要
もないです。

-- 
塚本  弘
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　　ふとした疑問ありますか？　　　　　　　　　　　
　　 http://www.infoseek.co.jp/GHome?pg=gn_top.html&svx=971122

References:
- [stalk:00386] Re: port:10008
  - From: Hironobu Iguchi
- [stalk:00388] Re: port:10008
  - From: Seiichi Nakashima

Prev by Date: [stalk:00389] Re: IIS CGI Filename Decode Error Vulnerability
Next by Date: [stalk:00391] Re: IIS CGI Filename Decode Error Vulnerability
Previous by thread: [stalk:00388] Re: port:10008
Next by thread: [stalk:00416] Re: cheese worm (was port:10008
Index(es):
- Date
- Thread