====== Otevřený DNS resolver ====== Na stroji běží **volně dostupný DNS resolver**. V prvních letech Internetu bylo běžné provozovat DNS resolvery (a také poštovní servery) jako **otevřené**. V současnosti se i DNS služby obvykle omezují na okruh vlastních zákazníků z těchto důvodů: * Neoprávněné osoby mohou využívat něco, k čemu nebyly autorizovány (služba jim nepatří), * útočníci mohou do cache DNS serveru podvrhnout nesprávné údaje a tím přesměrovat uživatele na nesprávné adresy, * otevřené rekursivní DNS resolvery se používají v masivních útocích typu DDoS - Distributed Denial of Service. Podrobné informace o problému otevřených rekursivních resolverů i návody k jeho odstranění lze najít např. na těchto stránkách: * [[https://www.cisa.gov/uscert/ncas/alerts/TA13-088A]] * [[https://www.cisa.gov/uscert/sites/default/files/publications/DNS-recursion033006.pdf]] * [[http://dns.measurement-factory.com/writings/wessels-netts2004-paper.pdf]] * [[http://podpora.nic.cz/page/384/varovani-pred-otevrenymi-rekurzivnimi-nameservery/]] * [[http://podpora.nic.cz/page/530/jak-odhalit-otevreny-rekurzivni-name-server/]] Zde lze otestovat, zda DNS resolver odpovídá na dotazy "Recursion Desired" (ale nehlásí chybu, pokud je resolver off-line): * [[http://www.openresolver.com]] Dtto s použitím příkazové řádky: * ''$ dig +short test.openresolver.com TXT @IP_address'' Zato NMAP ohlásí všechno, co potřebujeme vědět: * ''# nmap %%--%%reason -sU -p53 %%--%%script=dns-recursion IP_address'' Zde lze otestovat konfiguraci všech DNS zadané domény: * [[https://dnsinspect.com/]]