cs:services:eventclass:vulnerable-config-bogus-domain

Falešný (BOGUS) DNS resolver

Na stroji běží FALEŠNÝ (BOGUS) otevřený DNS resolver, který na DNS dotazy vrací nesprávné odpovědi.

Hlášení ShadowServeru sice neobsahuje hodnotu, kterou DNS resolver IP_address vrací, ale správce sítě to může zjistit tak, že sám odešle dotaz na jeho adresu:

  • # dig +short test.openresolver.com TXT @IP_address

a případně současně na síťovém rozhraní ensXXX sleduje, co tento stroj odpoví:

  • # tcpdump -i ensXXX -Knnt udp and host IP_address

nebo pro úplnější údaje:

  • # tcpdump -i ensXXX -KnntX udp and host IP_address

Dotaz na libovolný správně fungující otevřený DNS resolver zjistíl toto:

# dig +short @195.113.144.194 dnsscan.shadowserver.org
184.105.143.133

Takto zaznamenal komunikaci TCPDUMP:

IP AAA.BBB.211.133.40537 > 195.113.144.194.53: 49776+ [1au] A? dnsscan.shadowserver.org. (53)
IP 195.113.144.194.53 > AAA.BBB.211.133.40537: 49776 1/0/1 A 184.105.143.133 (69)

Dotaz na falešný (BOGUS) resolver XXX.YYY.1.51 zjistil např.:

# dig +short @XXX.YYY.1.51 dnsscan.shadowserver.org
198.18.2.1

Takto zaznamenal komunikaci TCPDUMP:

IP AAA.BBB.211.133.49823 > XXX.YYY.1.51.53: 50785+ [1au] A? dnsscan.shadowserver.org. (53)
IP XXX.YYY.1.51.53 > AAA.BBB.211.133.49823: 50785- 1/0/0 A 198.18.2.1 (82)
Poslední úprava:: 09.08.2023 19:51