S

ystemy linuksowe wyposażone są w lokalny resolver, który jest odpowiedzialny za tłumaczenie żądań programów o informacje o hostach w zapytania dla serwerów DNS oraz przekształcanie ich odpowiedzi w informacje dla tychże programów. Od wersji BIND 8.2 możemy dodać kilka nowych opcji do reslover’a, które teoretycznie mogą poprawić nam czasy odpowiedzi i wykorzystanie więcej niż jednego serwera DNS. Poniżej znajduje się przykładowy plik konfiguracyjny /etc/resolv.conf, który zawiera wpisy:
[ czytaj całość… ]

Z

ainstalowaliśmy i skonfigurowaliśmy serwery DNS – wydają się, że działają poprawnie. Możemy wykorzystać do ich sprawdzenia różnego rodzaju narzędzia pochodzące z naszego systemu operacyjnego np. host lub nslookup. Jednak zamiast tego – do przetestowania naszych publicznie dostępnych serwerów DNS możemy wykorzystać takie serwisy jak: Pingdom Tools: DNS Health lub intoDNS, które potrafią zaoszczędzić nam dużo czasu. Sprawdzają one nie tylko kompleksowo naszą konfigurację, ale również w przypadku wykrycia błędu lub odstępstwa od standardu zasugerują zmiany. Innymi serwisami tego typu również są: DNSsy oraz DNS Check.

P

lik /etc/host.conf zawiera podstawowe opcje resolvera nazw. W większości wypadków wystarczy domyślna konfiguracja zawarta w tym pliku. Jednak w celu usprawnienia jego działania oraz bezpieczeństwa należy ustawić kolejność odpytywania w odpowiedniej kolejności serwera DNS oraz włączenie mechanizmu zabezpieczającego przed podszywaniem się:
[ czytaj całość… ]

T

rzeciego grudnia 2009 roku firma Google oddała własne serwery DNS do publicznego użytku. Jest to projekt bardzo zbliżony do OpenDNS. Ma on zapewnić jego użytkownikom szybkość odpowiedzi resolwerów DNS, ich bezpieczeństwo oraz niezawodność w działaniu. Szybkość i niezawodność osiągnięto dzięki zapewnieniu odpowiedniej obsługi klastrów złożonych z serwerów DNS; równoważeniu obciążenia (ang. load-balancing) zapytań do resolwerów DNS jak i zastosowaniu mechanizmu aktywnego prefetchingu.
[ czytaj całość… ]

D

jbdns jest zestawem programów, który uważany jest za bardzo bezpieczny do obsługi usług DNS (posiadają bardzo wysoką odporność na ataki DNS Amplification oraz Cache Poisoing). Programy te – autorstwa Daniela Julius’a Bernstein’a (znanego wcześniej z autorstwa programu Qmail) powstały w odpowiedzi na wiele błędów, niedociągnięć i luk odkrytych w programie BIND.
[ czytaj całość… ]

W

łaściwie wszyscy interesujący się tematem bezpieczeństwa w sieciach komputerowych wiedzą, że protokół DNS ma błędy związane z bezpieczeństwem, jednak nie każdy tak naprawdę wie, na czym one polegają i na ile są groźne. Niniejszy tekst ma na celu przedstawienie tych błędów oraz zagrożeń z nimi związanych.
[ czytaj całość… ]

P

rzedstawiony hack jest tłumaczeniem “Distributing Server Load with Round-Robin DNS” z książki “Linux Servers Hacks” autorstwa Rob’a Flickenger’a udostępnionym on-line (Hack #79) na stronie http://hacks.oreilly.com. Do tłumaczenia zostało dodane także parę informacji od tłumacza.
[ czytaj całość… ]

O

penDNS jest darmową dla wszystkich (obejmuje cały świat) usługą DNS (ang. Domain Name System – System Nazw Domenowych), która umożliwia translację adresów internetowych zrozumiałych i łatwych do zapamiętania dla użytkowników na adresy, które są zrozumiałe dla urządzeń tworzących sieci komputerowe. Mówiąc prościej – potrafi ona przetłumaczyć adres w postaci www.nfsec.pl na adres IP (ang. Internet Protocol address): 205.97.59.2 – pozwalając w ten sposób zlokalizować konkretny komputer w sieci Internet. OpenDNS został stworzony w lipcu 2006 roku, z myślą o dostarczeniu użytkownikom bezpieczniejszej, szybszej i inteligentniejszej usługi DNS.
[ czytaj całość… ]

Ó

smego lipca 2008 roku Dan Kaminsky przedstawił poważne luki w implementacjach zabezpieczeń systemu nazw domenowych (ang. Domian Name System, DNS). Obejmują one luki wykryte w serwerach DNS BIND 8 i 9 przed wersjami 9.5.0-P1, 9.4.2-P1, oraz 9.3.5-P1; (2) Microsoft DNS w Windows 2000 SP4, XP SP2 i SP3, oraz Microsoft Server 2003 SP1 i SP2, a także prawdopodobnie w innych implementacjach, które pozwalają na sfałszowanie ruchu DNS techniką zatruwania DNS poprzez atak urodzinowy używający przekazywanych do rozpatrzenia rekordów in-bailiwick.
[ czytaj całość… ]