Na stroji běží FALEŠNÝ (BOGUS) otevřený DNS resolver, který na DNS dotazy vrací nesprávné odpovědi.
Hlášení ShadowServeru sice neobsahuje hodnotu, kterou DNS resolver IP_address vrací, ale správce sítě to může zjistit tak, že sám odešle dotaz na jeho adresu:
# dig +short test.openresolver.com TXT @IP_addressa případně současně na síťovém rozhraní ensXXX sleduje, co tento stroj odpoví:
# tcpdump -i ensXXX -Knnt udp and host IP_addressnebo pro úplnější údaje:
# tcpdump -i ensXXX -KnntX udp and host IP_addressDotaz na libovolný správně fungující otevřený DNS resolver zjistíl toto:
# dig +short @195.113.144.194 dnsscan.shadowserver.org 184.105.143.133
Takto zaznamenal komunikaci TCPDUMP:
IP AAA.BBB.211.133.40537 > 195.113.144.194.53: 49776+ [1au] A? dnsscan.shadowserver.org. (53) IP 195.113.144.194.53 > AAA.BBB.211.133.40537: 49776 1/0/1 A 184.105.143.133 (69)
Dotaz na falešný (BOGUS) resolver XXX.YYY.1.51 zjistil např.:
# dig +short @XXX.YYY.1.51 dnsscan.shadowserver.org 198.18.2.1
Takto zaznamenal komunikaci TCPDUMP:
IP AAA.BBB.211.133.49823 > XXX.YYY.1.51.53: 50785+ [1au] A? dnsscan.shadowserver.org. (53) IP XXX.YYY.1.51.53 > AAA.BBB.211.133.49823: 50785- 1/0/0 A 198.18.2.1 (82)
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz