Don't fear the penguin

Φεβρουαρίου 17, 2010

Forthnet DNS Servers

Κατηγορίες: DNS — Tags:, , , , , , , , — Sotiris Tsimbonis @ 2:45 μμ

Για όσους ψάχνουν τους “Forthnet DNS Servers” και δεν τους βρίσκουν…

teiresias, calchas, nsath, nsthe, nsher, ns1, ns2 …
…μια σελίδα που τα έχει όλα μαζεμένα:

http://stsimb.irc.gr/forthnet-dns-servers/

Φεβρουαρίου 1, 2010

GeoDNS with BIND

Κατηγορίες: DNS — Tags:, — Sotiris Tsimbonis @ 12:43 πμ

Είχα γράψει και παλιότερα για λύσεις “GeoDNS” αλλά σήμερα βρήκα ακόμα ένα patch για το BIND (9.5 και 9.6) που κάνει αυτή τη δουλειά.. Είναι στο git του kernel.org..

http://git.kernel.org/?p=network/bind/bind-geodns.git;a=summary

Υπάρχει πια δικιολογία για να μη γίνεις η “Akamai” για τα services του δικτύου σου;

(via)

Νοεμβρίου 19, 2009

Xray and .GR domains

Κατηγορίες: DNS — Tags:, — Sotiris Tsimbonis @ 12:13 πμ

- Κάποτε, μπορούσαμε να στείλουμε mail μέσω του sendmail που έτρεχε κάποιος άλλος, μόνο και μόνο για να παρακάμψουμε routing problems, πχ. dimitris%hypernet.hyper.gr@info.forthnet.gr.
- Τώρα δε μπορούμε, οι mail servers αυτοί ονομάστηκαν open relays και χρησιμοποιήθηκαν για να στέλνουν spam..

- Κάποτε, μπορούσαμε να χρησιμοποιήσουμε το DNS που έτρεχε κάποιος άλλος, ακόμα κι αλλάζαμε providers..
- Τώρα δε μπορούμε, γιατί χρησιμοποιήθηκαν σε “reflector attacks” και όχι μόνο recursion, αλλά ούτε καν την cache τους δε μας δείχνουν..

- Κάποτε, μπορούσαμε να κάνουμε zone tranfers ελεύθερα, και να βγάλουμε στατιστικά με το Xray που έκανε ο @kangelos για το .GR domain και τους top hosting providers.
- Τώρα πια δε μπορούμε, και το μόνο που μπορούμε να γνωρίζουμε για το .GR TLD είναι ότι πλέον έχει ξεπεράσει τα 290.000 domains (από επιστολή της ΕΕΤΤ προς το @papaki).

(triggered-by)

Ενδιαφέροντα στατιστικά για το DNS σήμερα, εμφανίζονται στο October 2009 DNS Survey (sponsored by Infoblox).

Ιουλίου 30, 2009

dnstop: stay on top of your DNS traffic

Κατηγορίες: DNS, favorite tools — Tags: — Sotiris Tsimbonis @ 9:09 πμ

dnstop is a small utility that displays various tables of DNS traffic on your network. Currently it displays tables of:

  • Source IP addresses
  • Destination IP addresses
  • Query types
  • Response codes
  • Opcodes
  • Top level domains
  • Second level domains
  • Third level domains
  • etc…

Very useful to troubleshoot DNS attacks or generate realtime DNS statistics.

Ιουλίου 29, 2009

BIND Dynamic Update DoS

Κατηγορίες: DNS — Tags: — Sotiris Tsimbonis @ 11:20 πμ
  • Summary: BIND denial of service (server crash) caused by receipt of a specific remote dynamic update message
  • Versions affected: BIND 9, all versions
  • This vulnerability affects all BIND servers which serve at least one DNS zone authoritatively, as a
    master, even if dynamic updates are not enabled.
  • Exploitable: remotely (An active remote exploit is in wide circulation at this time. Please upgrade immediately!

ISC Announcement: https://www.isc.org/node/474

Μαΐου 19, 2009

RIPE DNS Basics

Κατηγορίες: DNS — Sotiris Tsimbonis @ 10:37 πμ

A beginner DNS presentation from RIPE NCC that shows how a simple DNS query is resolved “behind the scenes”…

Announcement follows:

The RIPE NCC is pleased to announce the launch of the first module of our DNSSEC e-learning course, entitled “DNS Basics”.

This introductory module explains how DNS works by following a simple query, and can be viewed at:
https://e-learning.ripe.net/training/e-learning/

In the coming months we will be releasing several more modules. Next up are:

Module 2: DNS Vulnerabilities
Module 3: DNSSEC

The RIPE NCC E-Learning Centre is a free-of-charge service available to everyone. If you have any questions, please feel free to contact us at <e-learning@ripe.net>.

Happy Learning,

Rumy Kanis
Training Services Manager
RIPE NCC

Απριλίου 15, 2009

munin plugin to monitor dns response times

Κατηγορίες: DNS, System Administration — Tags:, — Sotiris Tsimbonis @ 12:00 μμ

A munin plugin that allows you to monitor the response time of any DNS that allows you to recurse.

dnsresponse_ — it’s a poor man’s smokeping DNS probe :)
(wordpress.com does not allow arbitrary file uploads, so grab it from munin-exhange)

To install it, place it in /usr/share/munin/plugins/ and run “munin-node-configure –shell“.

By default it graphs the Average, Median and StdDev of 20 DNS queries.

sample dnsresponse_ graph

sample dnsresponse_ graph

Μαρτίου 9, 2009

Resolvers vs. Authoritative DNS

Κατηγορίες: DNS — Tags:, , , — Sotiris Tsimbonis @ 11:28 μμ

Γιατί στην Ελλάδα (σχεδόν) όλοι πιστεύουν ότι οι DNS που πρέπει να έχουν στη σύνδεσή τους είναι αυτοί που έχει δηλώσει ο ISP τους για το κύριο domain name του; Είναι ένας μύθος που δεν ισχύει..

Μάλλον γιατί μέχρι τώρα, όλοι οι ISP έδιναν στους πελάτες τους τους ίδιους Name Servers και για τη σύνδεσή από το σπίτι, και για τα domains που έκαναν Register..

Κάποιοι έχουν έναν physical server με δύο διαφορετικές virtual IPs από το ίδιο LAN..

Περισσότεροι έχουν δύο physical servers στο ίδιο Data Center..

Λιγότεροι έχουν δύο ή παραπάνω physical servers σε διαφορετικά Data Centers σε διαφορετικές πόλεις..

Συνήθως λοιπόν, οι ISPs, αφού έμπαιναν στον “κόπο” να φτιάξουν και να διαχειριστούν αυτή την υποδομή από DNS Servers, τους χρησιμοποιούσαν και για τους access πελάτες (pstn, isdn, adsl) αλλά και για τα domain hostings.. Και το recursive DNS ήταν ανοιχτό για όλους, από όπου κι αν ερχόταν το request..

Ομως σιγά σιγά τα πράγματα αλλάζουν.. Εμφανίζονται Amplification Attacks.. Τα νούμερα (domains + χρήστες) μεγαλώνουν.. Η κίνηση εκτοξεύεται (από χιλιάδες queries σε εκατόμύρια)..

Για να αντιμετωπίσουν τα attacks σιγά σιγά οι ISPs αρχίζουν και κλείνουν το recursion στους μη-πελάτες τους (το αντίστοιχο του open-relay για το email).. Τώρα φτάσαμε στο σημείο που ούτε καν τα αποτελέσματα της cache που έχει ένας DNS δε σου δίνει, εκτός κι αν είσαι πελάτης..

Μετά αρχίζουν να πουλάνε πακέτα web hosting με control panels (plesk, cpanel κλπ).. Και σαν μέρος του control panel, περιέχεται και το DNS του Domain.. Αντί να κάνουν Integration του control panel με τους DNS servers που ήδη έχουν, δίνουν τον DNS του control panel.. Κι έτσι αποκτάνε και άλλο set από DNS servers, ειδικά για domains που γίνονται hosting στο control panel..

Μετά εμφανίζεται το opendns.com. Κάποιοι χρήστες αρχίζουν να αλλάζουν από μόνοι τους τους DNS Servers στη σύνδεσή τους και αγνοούν αυτούς που τους δίνει ο ISP..

Και τέλος, εμφανίζονται ISPs που, επιτέλους, αρχίζουν να δίνουν άλλους DNS στους access πελάτες τους από αυτούς που χρησιμοποιούν για τα domains τους (The importance of separating DNS caches from DNS Servers)..

Μαρτίου 7, 2009

DNS attack avenue-escorts.co.uk

Κατηγορίες: DNS — Tags:, , — Sotiris Tsimbonis @ 11:46 πμ

Last night (06 Mar 2009, 18:00 – 21:00 GMT) all our DNS servers were hit by thoudands of queries per minute like these..

client xx.1.178.144#11332: query: XtrkjA.avenue-escorts.co.uk IN NS +
client xx.1.34.160#1024: query: PupxpWqaCy.avenue-escorts.co.uk IN NS +
client xx.92.137.28#32768: query: GWgtomQeLZSDdris.avenue-escorts.co.uk IN NS +
client xx.1.83.145#1025: query: nBgoxan.avenue-escorts.co.uk IN NS +

All queries were from legit clients, that were allowed recursion (so now we know, the number of zombies lurking in our network is quite large)..

I had to declare the authoritative NSs for avenue-escorts.co.uk as bogus in all our NSs, thus stopping all outgoing queries to them (ref). The queries from clients kept hitting our NSs, but since no recursion was performed the load dropped.. Queries stopped about an hour after the fix.

Anyone else seen something similar on their NSs ?

dnsgraph_day

dnsgraph_day_rr

Ιουλίου 9, 2008

URGENT! Upgrade your DNS

Κατηγορίες: DNS — Tags: — Sotiris Tsimbonis @ 10:47 πμ

Ξεκίνησα σήμερα διαβάζοντας το παρακάτω επείγον announcement του BIND ..

  URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT
  URGENT                                                                URGENT
  URGENT    THIS ANNOUNCEMENT REFERS TO AN ISSUE THAT MAY AFFECT THE    URGENT
  URGENT           INTEGRITY OF YOUR RECURSIVE DNS SERVICE              URGENT
  URGENT                                                                URGENT
  URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT

    Thanks to recent work by Dan Kaminsky of IOActive, ISC has become
    aware of a potential attack exploiting weaknesses in the DNS protocol
    itself to enable the poisoning of caching recurive resolvers with
    spoofed data.

    For additional information about this vulnerability, see US-CERT
    (CERT VU#800113 DNS Cache Poisoning Issue).  For more details on
    changes to BIND, see http://www.isc.org/sw/bind/forgery-resilience.php.

    IF YOU ARE RUNNING BIND AS A CACHING RESOLVER YOU NEED TO TAKE ACTION.

Προφανώς δεν είναι μόνο στο bind, αλλά και σε πολλά άλλα DNS implementations (Microsoft, Cisco, etc), aφού το πρόβλημα είναι “in the DNS protocol itself”..

Περισσότερες πληροφορίες για vulnerable systems στο CERT VU#800113 και για το συγκεκριμένο θέμα μετά το Black Hat Conference στις 7 Αυγούστου.

Προσοχή γιατί μπορεί να χρειαστεί αλλαγή στο firewall που έχετε αλλά και στο configuration (βλέπε debian security advisory dsa-1603).

Ιουλίου 7, 2008

2008 OARC DNS Operations Workshop

Κατηγορίες: DNS — Tags: — Sotiris Tsimbonis @ 3:13 μμ

Unbound, DSC, Heavy Hitters, Large-Scale DNS Caching Servers, Privacy issues in DNS.. Πολύ ενδιαφέρουσες αυτές και γενικά όλες οι παρουσιάσεις από το 2008 OARC DNS Operations Workshop ..

Μεταξύ άλλων στην παρουσίαση NSF DNSPERF Project Report (Brian Reid, ISC) εμφανίζουν νέα test data από το DNS Performance Testing Project πού είχαμε δει παλιότερα, όπου το Linux-Fedora αυτή τη φορά έχει περισσότερα queries/sec από το FreeBSD 7-RC1 (ρίχνω λάδι στη φωτιά ;))

Φεβρουαρίου 19, 2008

DNS Performance Testing Project

Κατηγορίες: DNS — Tags: — Sotiris Tsimbonis @ 7:29 μμ

Σήμερα ένας φίλος sysadmin μου είπε για το DNS Performance Testing Project του ISC. Λέει ότι είναι ακόμα work in progress, αλλά έχει πραγματικά ενδιαφέρον από πολλές απόψεις..

Κατ’ αρχήν μας δείχνει τη μεθοδολογία που χρησιμοποίησε το ISC για να διαλέξει το Server Hardware που θα τρέξει το BIND.

Our experience as authors of the BIND software is that the performance of BIND is limited primarily by the processor and memory performance of the server computer. [...] We have identified several candidate server computer configurations based on price and availability and have measured the memory performance (bandwidth, latency, and cache performance) of each.

Και μας δίνει μια σειρά από software tools για να μετρήσουμε κι εμείς στα δικά μας συστήματα ακριβώς αυτά.. memtest86 για memory και cache transfer rates, Calibrator, lmbench και STREAM για (cache-) memory latency και TLB performance.

Μετά, για το Operating System Evaluation, κάνουν capture με tcpdump την κίνηση του F-root και με τη βοήθεια του queryperf το στέλνουν στο BIND που τρέχει σε διάφορα λειτουργικά..

Αφήνω το προφανές σχεδόν ασχολίαστο, γιατί δε θέλω να ξεκινήσουμε Holly War.. Δηλαδή ότι το BIND που έτρεξε σε linux kernel 2.6.x είχε περισσότερα queries/sec απ’ότι σε FreeBSD.. Είναι προφανές ότι δεν το περίμεναν και οι ίδιοι, γιατί λένε ότι θα επαναλάβουν τις μετρήσεις όταν βγει το FreeBSD 7.1.

Σημαντικές παρατηρήσεις είναι ότι

  • Δεν έχει επίπτωση στο server performance το filesize του zone file (αρκεί να είναι μικρότερο από το μέγεθος της physical RAM).
  • Επίσης δεν υπάρχει διαφορά σε performance αν το zone file είναι signed ή unsigned (βλέπε DNSSEC), εκτός του ότι στη signed υπάρχει περισσότερο συνολικό network traffic.
  • Σ’έναν authoritative name server που θέλουμε top performance βάζουμε και τα options
    • check-sibling no;
    • fetch-glue no;
    • recursion no;
    • acache-enable yes;
    • max-acache-size 128M;

    (Για εξηγήσεις βλέπε στο BIND 9.4 Administrator Reference Manual)

Φεβρουαρίου 5, 2008

IPv6 Addresses for the Root zone

Κατηγορίες: DNS — Tags: — Sotiris Tsimbonis @ 3:34 μμ

Από χθες μπήκαν IPv6 addresses στο root zone για 6 root servers.

On or about 4 February 2008, for the first time AAAA records for some of the authoritative name servers for the DNS root zone will be introduced. These records will provide for access to the root servers over IPv6 transport, and will be implemented in both the root zone data, and the root hints file. We are providing this advanced notification in case unexpected network events occur that might be related to this change.

Οπότε καλό είναι να κάνουμε update το hint file σε όλους τους name servers μας (δεν πέρασε και πολύς καιρός από την τελευταία αλλαγή)..

(via)

Ιανουαρίου 17, 2008

locally bypass dnsbl listing

Κατηγορίες: DNS — Tags: — Sotiris Tsimbonis @ 10:59 πμ

Τι κάνεις όταν θέλεις να δεχτείς mail από κάποιο IP που είναι listed σε κάποια dnsbl και δε μπορείς να το βγάλεις;

Το κάνεις whitelist στον mail server ή στο antispam software που χρησιμοποιείς..

Κι αν το whitelisting δε δουλεύει ή δεν έχεις τον έλεγχο τους;

Τότε κάνεις bypass το dnsbl listing, γιατί έχεις έλεγχο του DNS server που χρησιμοποιούνε!

Εστω ότι το listed IP είναι το 193.194.195.196, και είναι listed στην bl.spamcop.net.

$ host 196.195.194.193.bl.spamcop.net
196.195.194.193.bl.spamcop.net has address 127.0.0.2

Φτιάχνεις ένα κενό zone file στον DNS σαν το παρακάτω

$ cat etc/noblacklist.zone

$TTL 86400
;
;name   addr-cl SOA     Origin  Person in charge
;
@       IN      SOA     localhost.  root.localhost. (
                        2008011600   ; Serial
                        21600        ; Refresh 6 hours
                        3600         ; Retry 1 hours
                        3600000      ; Expire 41 days 16 hours
                        172800     ) ; Minimum 2 days
                                IN      NS      localhost.

Στο etc/named.conf του bind δηλώνεις το παρακάτω:

zone "195.194.193.bl.spamcop.net" {
                type master;
                file "/etc/noblacklist.zone";
};

Κάνεις reconfig στο bind και ως δια μαγείας ..δεν είσαι πλεον listed

$ host 196.195.194.193.bl.spamcop.net
Host 196.195.194.193.bl.spamcop.net not found: 3(NXDOMAIN)

Δεκεμβρίου 31, 2007

geo dns server

Κατηγορίες: DNS, IRC — Tags:, , — Sotiris Tsimbonis @ 10:12 πμ

Ολοι προσπαθούν να λύσουν το πρόβλημα “ποιος server είναι πιο κοντά στον πελάτη με βάση το IP προέλευσης” ..

Εκτός από την Akamai ($$) και τον powerdns με Geobackend (που χρησιμοποιούμε στο irc.gr από το 2005) σήμερα ανακάλυψα ότι το NTP pool project έχει γράψει έναν άλλο για την ίδια δουλειά, τον pgeodns.

(via)

Παλιότερα άρθρα »

Blog στο WordPress.com.