cs:services:eventclass:vulnerable-config-domain
Action unknown: indexoauthloginauthoauthloginauth

Otevřený DNS resolver

Na stroji běží volně dostupný DNS resolver.

V prvních letech Internetu bylo běžné provozovat DNS resolvery (a také poštovní servery) jako otevřené. V současnosti se i DNS služby obvykle omezují na okruh vlastních zákazníků z těchto důvodů:

  • Neoprávněné osoby mohou využívat něco, k čemu nebyly autorizovány (služba jim nepatří),
  • útočníci mohou do cache DNS serveru podvrhnout nesprávné údaje a tím přesměrovat uživatele na nesprávné adresy,
  • otevřené rekursivní DNS resolvery se používají v masivních útocích typu DDoS - Distributed Denial of Service.

Podrobné informace o problému otevřených rekursivních resolverů i návody k jeho odstranění lze najít např. na těchto stránkách:

Zde lze otestovat, zda DNS resolver odpovídá na dotazy „Recursion Desired“ (ale nehlásí chybu, pokud je resolver off-line):

Dtto s použitím příkazové řádky:

  • $ dig +short test.openresolver.com TXT @IP_address

Zato NMAP ohlásí všechno, co potřebujeme vědět:

  • # nmap --reason -sU -p53 --script=dns-recursion IP_address

Zde lze otestovat konfiguraci všech DNS zadané domény:

Poslední úprava:: 29.09.2024 19:13