cs:services:eventclass:vulnerable-config-domain

Otevřený DNS resolver

Na stroji běží volně dostupný DNS resolver.

V prvních letech Internetu bylo běžné provozovat DNS resolvery (a také poštovní servery) jako otevřené. V současnosti se i DNS služby obvykle omezují na okruh vlastních zákazníků z těchto důvodů:

  • Neoprávněné osoby mohou využívat něco, k čemu nebyly autorizovány (služba jim nepatří),
  • útočníci mohou do cache DNS serveru podvrhnout nesprávné údaje a tím přesměrovat uživatele na nesprávné adresy,
  • otevřené rekursivní DNS resolvery se používají v masivních útocích typu DDoS - Distributed Denial of Service.

Podrobné informace o problému otevřených rekursivních resolverů i návody k jeho odstranění lze najít např. na těchto stránkách:

Zde lze otestovat, zda je DNS resolver otevřený:

Lze to otestovat i takto:

  • $ dig +short test.openresolver.com TXT @IP_address
  • $ nmap --reason -sU -p53 IP_address

Zde lze otestovat konfiguraci všech DNS zadané domény:

Last modified:: 19.04.2023 10:41