Overzicht van kwetsbare DNS servers

Gimli · 21 jul 2008, 20:36

Recent additional research into these issues and methods of combining them to conduct improved cache poisoning attacks have yielded extremely effective exploitation techniques. Caching DNS resolvers are primarily at risk--both those that are open (a DNS resolver is open if it provides recursive name resolution for clients outside of its administrative domain), and those that are not. These caching resolvers are the most common target for attackers; however, stub resolvers are also at risk.

An attacker with the ability to conduct a successful cache poisoning attack can cause a nameserver's clients to contact the incorrect, and possibly malicious, hosts for particular services. Consequently, web traffic, email, and other important network data can be redirected to systems under the attacker's control.

http://www.kb.cert.org/vuls/id/800113

De onderzoeker die deze bug vond, heeft een DNS check tool op zijn website staan. Ik wil eens zien welke belgische providers hun servers al gepatched hebben. Het is nu al 2 weken geleden. En over 2 weken worden de details van de vulnerability op Blackhat gepresenteerd. Game over.

http://www.doxpara.com/

Het zijn wij, de surfers die risico lopen. Indien je provider kwetsbaar is, kan je tijdelijk op OpenDNS overschakelen.

http://www.opendns.com/

Vermeld bij welke ISP je bent en maak graag een screenshot. Bedankt voor jullie hulp om een overzicht te maken.

Gimli · 22 jul 2008, 00:41

Niemand zo vriendelijk om even op "Check my DNS" te klikken?

http://www.doxpara.com/

Hij doet gewoon een paar DNS lookups en analyseert deze. Dit kan bepalen of je DNS server kwetsbaar is voor DNS poisening attacks.

Gimli · 22 jul 2008, 00:52

Ok. Vers van de pers. Details van de DNS Vulnerability heeft men toch al uitgedokterd. http://www.mcgrewsecurity.com/?p=151

Patch. Today. Now. Yes, stay late. Yes, forward to OpenDNS if you have to. (They’re ready for your traffic.) Thank you to the many of you who already have. (via http://www.doxpara.com/)

Help ons en jezelf om een overzicht van alle ISPs te maken. Schakel over naar openDNS indien nodig.

Quincy · 22 jul 2008, 11:22

Ik maak gebruik van Dommel netconnect en blijkbaar ben ik 'vulnerable'.
Ik heb mijn DNS-settings veranderd naar OpenDNS en de test opnieuw uitgeprobeerd, en nu zegt hij 'safe'.

AnD · 22 jul 2008, 15:53

Hoe verander je het dns adres in een speedtouch 510i ? Inloggen erop en dan ?

splinterbyte · 22 jul 2008, 16:27

Code: Selecteer alles

Your name server, at 212.53.5.5, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for d3dcd2660dca.toorrr.com:
212.53.5.5:29306 TXID=11966
212.53.5.5:39250 TXID=60059
212.53.5.5:21319 TXID=15852
212.53.5.5:45077 TXID=9734
212.53.5.5:61348 TXID=7930

Tele2 all in 4MB

gert.jansen · 22 jul 2008, 17:18

Code: Selecteer alles

This tool checks for DNS cache poisoning susceptibility, a serious security flaw in DNS recently acknowledged by CERT (US Computer Emergency Readiness Team). US-CERT VU#800113
This DNS server is vulnerable!
The DNS server at IP address 81.188.160.51 is susceptible to a DNS cache poisoning attack. The server is not changing its source port, query id, or both, between queries. This means it is easier
than average for an attacker to spoof responses to DNS queries from this server, causing the server to serve a potentially malicious DNS record in response to any query.

Easynet

Code: Selecteer alles

This DNS server is vulnerable!
The DNS server at IP address 195.144.64.165 is susceptible to a DNS cache poisoning attack. The server is not changing its source port, query id, or both, between queries. This means it is easier
than average for an attacker to spoof responses to DNS queries from this server, causing the server to serve a potentially malicious DNS record in response to any query.

Evonet Performer

DaNi0 · 22 jul 2008, 20:34

Ik was sowieso OpenDNS gebruiker dus ik moet mij geen zorgen maken.

DaNi0 · 22 jul 2008, 20:59

Een hacker heeft details over een dns-kwetsbaarheid vroegtijdig in de openbaarheid gebracht, twee weken voordat het lek op de Black Hat-hackersconferentie uit de doeken zou worden gedaan.

Lees het volledige artikel hier: http://tweakers.net/nieuws/54683/nieuw- ... rheid.html

cloink · 22 jul 2008, 21:12

Grmbl... Eigenlijk wel best s****. Dommel's DNS is vulnerable en ik kan in mijn Fritz!box geen custom DNS-servers specifiëren...

Dommel kennende zal dit weer een poosje duren eer ze in actie schieten (andere katjes te geselen?), terwijl het toch echt wel dringend is nu...

C1nder · 22 jul 2008, 21:38

Scarlet:

Code: Selecteer alles

Your name server, at 194.119.228.67, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.
Requests seen for f655331c770e.toorrr.com:
194.119.228.67:21124 TXID=44144
194.119.228.67:26285 TXID=30083
194.119.228.67:56680 TXID=27336
194.119.228.67:34549 TXID=52383
194.119.228.67:34549 TXID=59594

liger · 22 jul 2008, 22:59

dxadsl

Your name server, at 83.143.245.7, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 32774

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 371dd33dba3c.toorrr.com:
83.143.245.7:32774 TXID=47985
83.143.245.7:32774 TXID=6893
83.143.245.7:32774 TXID=1761
83.143.245.7:32774 TXID=24608
83.143.245.7:32774 TXID=31246

best emailtje sturen wrs?

Gimli · 22 jul 2008, 23:20

cloink schreef:Grmbl... Eigenlijk wel best s****. Dommel's DNS is vulnerable en ik kan in mijn Fritz!box geen custom DNS-servers specifiëren...

Dommel kennende zal dit weer een poosje duren eer ze in actie schieten (andere katjes te geselen?), terwijl het toch echt wel dringend is nu...

Stel gewoon manueel DNS servers in de TCP/IP settings van je PC. Dat kan je terwijl je nog altijd op DHCP blijft werken.

Bedankt voor de antwoorden tot nu toe. Telenet & Skynet & various ontbreken nog in het overzicht.

Overzicht.

Scarlet = ok
dxadsl = not ok
dommel = not ok
easynet = not ok
evonet performer = not ok
Tele2 = ok

Slashdot & tweakers hebben het "nieuws" ondertussen ook al overgenomen. It's not the end of the world, maar wel ernstig.

b012145214 · 22 jul 2008, 23:36

ik krijg "Verbinding onderbroken" bij de test, maar ik gebruik openDNS dusja

22 jul 2008, 23:51

EDPNET:

Your name server, at 212.71.8.11, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for fcb3ddfe9127.toorrr.com:
212.71.8.11:10317 TXID=1024
212.71.8.11:27693 TXID=6915
212.71.8.11:27533 TXID=2328
212.71.8.11:1926 TXID=18062
212.71.8.11:3272 TXID=59628

Telenet:

Your name server, at 195.130.130.132, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 20204

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 31f17e347cfb.toorrr.com:
195.130.130.132:20204 TXID=64646
195.130.130.132:20204 TXID=47077
195.130.130.132:20204 TXID=56133
195.130.130.132:20204 TXID=29572
195.130.130.132:20204 TXID=61776

Gimli · 22 jul 2008, 23:56

Gimli schreef: updated Overzicht.

Scarlet = ok
dxadsl = not ok
dommel = not ok
easynet = not ok
evonet performer = not ok
Tele2 = ok
Telenet = not ok
Edpnet = ok

3/8 zijn in orde. Skynet ontbreekt nog in het lijstje. 2 weken geleden was die nog niet ok maar momenteel weet ik het niet. Kan het zelf niet testen.

redman · 23 jul 2008, 13:58

fulladsl nok

ljd · 23 jul 2008, 15:16

Je moet opendns niet specifiek instellen op je Modem/router. Op je pc is al meer dan genoeg.

Ik gebruik ook al jaren Opendns nu. Werkt als een Veertje.

Maglor · 23 jul 2008, 23:10

Dit krijg ik voor Belgacom:

Your name server, at 195.238.24.155, may be safe, but the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 13.

Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds.
Requests seen for fbc3bf8d3e1d.toorrr.com:
195.238.24.155:32880 TXID=43034
195.238.24.155:32884 TXID=58625
195.238.24.155:32871 TXID=62548
195.238.24.155:32872 TXID=39175
195.238.24.155:32872 TXID=45157

Gimli · 23 jul 2008, 23:14

Gimli schreef: updated Overzicht.

Scarlet = ok
dxadsl = not ok
dommel = not ok
easynet = not ok
evonet performer = not ok
Tele2 = ok
Telenet = not ok
Edpnet = ok
fulladsl = not ok
skynet = maybe? maybe not?

3/10 zijn in orde. De rest is hopelijk druk bezig

Bedankt voor de medewerking. Ik hoop dat de sysadmins ermee bezig. Vrijdag mogen ze het vieren. Dan is het sysadmin day.

gr4vity · 23 jul 2008, 23:36

cloink schreef:Dommel kennende zal dit weer een poosje duren eer ze in actie schieten (andere katjes te geselen?), terwijl het toch echt wel dringend is nu...

Dommel:

Your name server, at 193.109.184.80, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for f88d6f92bf15.toorrr.com:
193.109.184.80:25922 TXID=63768
193.109.184.80:12074 TXID=1139
193.109.184.80:17017 TXID=9541
193.109.184.80:6927 TXID=54529
193.109.184.79:12015 TXID=15321

Vieten · 23 jul 2008, 23:55

Maglor schreef:Dit krijg ik voor Belgacom:

Your name server, at 195.238.24.155, may be safe, but the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 13.

Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds.
Requests seen for fbc3bf8d3e1d.toorrr.com:
195.238.24.155:32880 TXID=43034
195.238.24.155:32884 TXID=58625
195.238.24.155:32871 TXID=62548
195.238.24.155:32872 TXID=39175
195.238.24.155:32872 TXID=45157

Hetzelfde hier voor skynet, maar die 'only 13' is na elke test een ander getal.

Astralon · 23 jul 2008, 23:55

Telenet

Code: Selecteer alles

Your name server, at 195.130.130.162, appears to be safe, but make sure the ports listed below aren't following an obvious pattern. 
--------------------------------------------------------------------------------
Requests seen for 67ad41a5e1a6.toorrr.com:
195.130.130.162:17305 TXID=7770
195.130.130.162:24048 TXID=33561
195.130.130.162:7366 TXID=7305
195.130.130.162:41364 TXID=4424
195.130.130.162:15130 TXID=2853

Code: Selecteer alles

Your name server, at 195.130.129.162, appears to be safe, but make sure the ports listed below aren't following an obvious pattern. 
--------------------------------------------------------------------------------
Requests seen for 4a7416cad7f7.toorrr.com:
195.130.129.162:44902 TXID=27087
195.130.129.162:6412 TXID=52368
195.130.129.162:27855 TXID=52293
195.130.129.162:54771 TXID=62444
195.130.129.162:48399 TXID=55179

24 jul 2008, 00:09

Dommel:

Code: Selecteer alles

Your name server, at 193.109.184.80, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.

Ondertussen blijkbaar 'ok' dus.

Gimli · 24 jul 2008, 00:40

Gimli schreef: Updated Overzicht.

Scarlet = ok
dxadsl = not ok
dommel = ok
easynet = not ok
evonet performer = not ok
Tele2 = ok
Telenet = ok
Edpnet = ok
fulladsl = not ok
skynet = maybe? maybe not?

5/10 zijn in orde.

Men is er gelukkig actief mee bezig en geen moment te vroeg. Metasploit heeft net een exploit voor het dns probleem toegevoegd.

http://security4all.blogspot.com/2008/0 ... ening.html
http://blogs.zdnet.com/security/?p=1545
http://blogs.zdnet.com/security/?p=1546

pdanhieux · 25 jul 2008, 13:57

Skynet - alle DNS servers gechecked op Jul 24 15:00
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.238.24.152 is POOR: 26 queries in 4.0 seconds from 12 ports with std dev 3.93"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.238.24.155 is POOR: 26 queries in 4.0 seconds from 26 ports with std dev 288.33"

Telenet - alle DNS servers gechecked op Jul 24 15:00
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.1 is GOOD: 26 queries in 4.3 seconds from 26 ports with std dev 19531.63"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.2 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 20004.65"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.3 is GOOD: 26 queries in 4.5 seconds from 26 ports with std dev 16979.69"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.4 is GOOD: 26 queries in 4.5 seconds from 26 ports with std dev 18514.35"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.5 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 22246.38"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.11 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 19518.02"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.131 is GOOD: 33 queries in 6.2 seconds from 33 ports with std dev 21359.02"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.130.139 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 18289.49"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.131.1 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 19084.38"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.131.2 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 20114.96"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.131.3 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 21643.04"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.131.4 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 19947.26"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.131.5 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 17366.78"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.136.97 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 17781.85"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.136.98 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 21323.83"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.136.99 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 14767.89"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.136.100 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 20823.69"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.136.101 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 18658.38"
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.130.131.11 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 17315.79"

Gimli · 25 jul 2008, 18:46

Gimli schreef: Updated Overzicht.

Scarlet = ok
dxadsl = not ok
dommel = ok
easynet = not ok
evonet performer = not ok
Tele2 = ok
Telenet = ok
Edpnet = ok
fulladsl = not ok
skynet = seems not ok

5/10 zijn in orde.

liger · 25 jul 2008, 23:23

na een mailtje naar dxadsl

Your name server, at 83.143.245.8, appears to be safe, but make sure the ports listed below aren't following an obvious pattern.Requests seen for 49dae1e746ba.toorrr.com:
83.143.245.8:40460 TXID=13213
83.143.245.8:48849 TXID=55202
83.143.245.8:65250 TXID=61584
83.143.245.8:31826 TXID=26734
83.143.245.8:61031 TXID=56271

b012145214 · 28 jul 2008, 02:33

Telenet met openDNS:

Code: Selecteer alles

Your name server, at 208.69.34.10, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).Requests seen for 712ffa0814b7.doxdns5.com:
208.69.34.10:18248 TXID=394
208.69.34.10:4883 TXID=29517
208.69.34.10:15387 TXID=41954
208.69.34.10:15689 TXID=17532
208.69.34.10:49564 TXID=46427

liger · 28 jul 2008, 03:16

b012145214 schreef:Telenet met openDNS:

Code: Selecteer alles

Your name server, at 208.69.34.10, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).Requests seen for 712ffa0814b7.doxdns5.com:
208.69.34.10:18248 TXID=394
208.69.34.10:4883 TXID=29517
208.69.34.10:15387 TXID=41954
208.69.34.10:15689 TXID=17532
208.69.34.10:49564 TXID=46427

eh? beetje zinloos vind je niet?

hellsnake · 28 jul 2008, 10:30

Belgacom adsl:

Code: Selecteer alles

Your ISP's name server, 195.238.24.152, has other protections above and beyond port randomization against the recently discovered DNS flaws. There is no reason to be concerned about the results seen below.Requests seen for 6a4f4efe7414.doxdns5.com:
195.238.24.152:32937 TXID=46488
195.238.24.152:32969 TXID=28465
195.238.24.152:32895 TXID=42512
195.238.24.152:32996 TXID=50585
195.238.24.152:32941 TXID=42539
ISNOM:ISNOM TXID=ISNOM

gert.jansen · 28 jul 2008, 13:50

Antwoord van vorige vrijdag van Easynet op mijn mail ivm de vulnerability:

We are well aware of the vulnerability.
However our resolvers are only reachable by our customers which reduce the risk of malicious cache poisoning.

easynet support

en dat van Evonet (ook vrijdag):

Beste,

We hebben uw vraag doorgespeeld aan onze netwerkmensen.
Hun antwoord is dat dit eerstdaags wel zal gebeuren maar dat dit geen hoge prioriteit heeft.

EDIT:
Net een update van Evonet gekregen:

Beste Gert,

Onze DNS servers zijn deze morgen gepatched.

Vriendelijke groeten,
David.

Gimli · 28 jul 2008, 20:59

Gimli schreef: Updated Overzicht.

Scarlet = ok
dxadsl = ok
dommel = ok
easynet = not ok
evonet performer = ok
Tele2 = ok
Telenet = ok
Edpnet = ok
fulladsl = not ok
skynet = seems ok

8/10 zijn in orde.

België scoort uitstekend. Gezien de meeste gebruikers bij Telenet & Skynet zitten, zeker met dommel, edpnet & scarlet geteld, zijn de meeste gebruikers nu in orde. Excellent!!!

Dat je resolving DNS servers van buitenaf niet te bereiken zijn, is inderdaad een maatregel maar geen sluitende maatregel. 1 PC op het netwerk van desbetreffende ISP overnemen/besmetten is voldoende.

(net via RSS feed gezien) Hier is een voorbeeld van wat er mogelijk kan mislopen:
http://security4all.blogspot.com/2008/0 ... cache.html

Gewoon Java update service die een verbinding probeert te maken en je PC is pwned.

BasMSI · 09 aug 2008, 20:18

a DNS resolver is open if it provides recursive name resolution for clients outside of its administrative domain

Hahahaha, dit is wel echt lachen, de onzin die hier verkocht wordt!
hebben jullie wel eens onderzocht wat dit "mogelijk" zou kunnen doen?
Bovendien hoe moeilijk het is dit te gebruiken?

De OK's die jullie zien is niks meer en minder dan een terug-nslookup die verboden is van een ander domein dan het eigen.

Dat Evonet er geen tijd in steekt is normaal, dit is niks meer en minder dan een HOAX!

Je weet toch wat er gebeurd? Recursive lookup is dit: nslookup IP -> Domainnaam
Een normale lookup is: nslookup domain -> IP

Er is geen enkele attack bekend die hier iets mee kan doen, behalve wat vage vermoedens.
Deze hoax is al jaren rond aan het gaan, en tot hiertoe is er nergens iets mis gegaan, met of zonder de "patch".
Want de "patch" is niks anders dan een toelaten van eigen clients die wel een recusive lookup mogen doen, alsof die dan geen "attack" kunnen/willen doen, als het al mogelijk is.

Sorry, maar dit is niet meer dan een storm in een glas water en niet meer dan dat.

cloink · 09 aug 2008, 20:52

Jij bent precies toch niet echt zo'n specialist... Er bestaan POC's van deze techniek die duidelijk aantonen dat een hijack een fluitje van een cent is.

09 aug 2008, 21:23

Denk je echt dat als de netwerkwereld hier zo snel met patches en dergelijke komt dat er niks aan de hand is?

BasMSI · 09 aug 2008, 21:38

Dit reverse DNS ding is al jaren gaande, het verbaasd me enkel dat UB er nu pas aandacht aan besteed.
Reverse DNS is geen enkel probleem, nooit geweest ook.

Waar het fout gaat is iets anders, dat is het automatisch-updaten van records tussen DNS-servers.
bv Primary en Secondary, daar kan je klooien als de boel niet goed ingesteld is.
Maar domweg reverse DNS doet niets.
En neen dat is niet simpel te checken met een dom tooltje, nog dat het simpel uit te buiten is.
Trouwens het buiten smijten van anderen om reverse DNS te doen is een paarden middel en niet echt wenselijk.

Lees dan de rapporten eens over wat het wel is, want 99% van de mensen heeft geen idee en het gevaar is NOG NOOIT AANGETOOND!

Dit is al sinds 2004~2005 bezig, maar er is geen bewijs dat het ook werkt of ooit toegepast is.
Bind9 zou de "bug" niet meer hebben, maar als je hem open zet weer wel....maar het is onbewezen dan een DNS-DOS ook daadwerkelijk werkt.
In theorie wel, maar praktijk niet.
En dat is waar het over gaat.

BasMSI · 09 aug 2008, 21:43

cloink schreef:Jij bent precies toch niet echt zo'n specialist... Er bestaan POC's van deze techniek die duidelijk aantonen dat een hijack een fluitje van een cent is.

Laat maar zien dan, waaruit blijkt dat ze een geslaagde poging hebben gedaan.
Tot hiertoe is er enkel theorie en vage vermoedens, al jaren lang.

Anders test je toch lekker onze servers, die staan allemaal fijntjes open, nog nooit iets gemerkt.
En de logs nog de trafiek laat vreemde dingen zien.

Onze servers doen updates via programma's die wij draaien, en niet automatisch tussen de DNS servers, wat sommige wel gebruiken.

KK · 09 aug 2008, 23:23

Oh dear, iemands ban is blijkbaar opgeheven en het forumspammen is al terug begonnen

liger · 10 aug 2008, 00:49

STOP THE HORSES. BASMSI IS HERE TO THE RESCUE
de "kenner" gaat ff microsoft//cisco//apple//etc leren hoe het moet