powerdns отвечая на запросы копать.NS @yournameserver

Question

Мне сообщили о проблеме безопасности при ответе на следующие вопросы: dig.NS @yournameserver Я не могу найти, влияет ли это на мою версию PowerDNS 2.9.22-3 и как предотвратить ответ на этот запрос.

Мой DNS-сервер отвечает на вышеуказанные запросы:

; <<>> DiG 9.7.3-P3 <<>> . NS @XX.XX.XX.XX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49208
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;.              IN  NS

;; ANSWER SECTION:
.           3600    IN  NS  A.ROOT-SERVERS.NET.
.           3600    IN  NS  B.ROOT-SERVERS.NET.
.           3600    IN  NS  F.ROOT-SERVERS.NET.
.           3600    IN  NS  G.ROOT-SERVERS.NET.
.           3600    IN  NS  E.ROOT-SERVERS.NET.
.           3600    IN  NS  C.ROOT-SERVERS.NET.
.           3600    IN  NS  D.ROOT-SERVERS.NET.
.           3600    IN  NS  J.ROOT-SERVERS.NET.
.           3600    IN  NS  K.ROOT-SERVERS.NET.
.           3600    IN  NS  L.ROOT-SERVERS.NET.
.           3600    IN  NS  I.ROOT-SERVERS.NET.
.           3600    IN  NS  H.ROOT-SERVERS.NET.
.           3600    IN  NS  M.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
H.ROOT-SERVERS.NET. 3600    IN  A   128.63.2.53
B.ROOT-SERVERS.NET. 3600    IN  A   128.9.0.107
A.ROOT-SERVERS.NET. 3600    IN  A   198.41.0.4
K.ROOT-SERVERS.NET. 3600    IN  A   193.0.14.129
G.ROOT-SERVERS.NET. 3600    IN  A   192.112.36.4
F.ROOT-SERVERS.NET. 3600    IN  A   192.5.5.241
D.ROOT-SERVERS.NET. 3600    IN  A   128.8.10.90
J.ROOT-SERVERS.NET. 3600    IN  A   198.41.0.10
I.ROOT-SERVERS.NET. 3600    IN  A   192.36.148.17
L.ROOT-SERVERS.NET. 3600    IN  A   198.32.64.12
C.ROOT-SERVERS.NET. 3600    IN  A   192.33.4.12
E.ROOT-SERVERS.NET. 3600    IN  A   192.203.230.10
M.ROOT-SERVERS.NET. 3600    IN  A   202.12.27.33

;; Query time: 62 msec
;; SERVER: XX.XX.XX.XX#53(XX.XX.XX.XX)
;; WHEN: Wed Nov 23 12:58:44 2011
;; MSG SIZE  rcvd: 449

Answer 1

send-root-referral | --send-root-referral=yes | --send-root-referral=no | --send-root-referral=lean

Если установлено, PowerDNS будет отправлять устаревшие корневые ссылки при запросе доменов, для которых он не является доверенным.Тратит некоторую пропускную способность, но может решить поток входящих запросов, если вам делегированы домены, для которых вы не являетесь полномочными, но которые запрашиваются неработающими рекурсорами.Доступно с 2.9.19.

Начиная с 2.9.21, можно указывать «худые» корневые рефералы, которые расходуют меньше пропускной способности.

Я предлагаю установить для этого параметра значение = нетили = худой.

Answer 2

То, что вы видите в выводе dig, называется корневым рефералом, это в основном означает, что запрашиваемый вами сервер имен имеет встроенные или настроенные знания IP-адресов 13 корневых серверов имен и не боится сообщать клиентам, запрашивающим его,это, как и в случае с любой другой зоной, за которую она настроена отвечать.

Существует только одна проблема безопасности, о которой я могу думать в сервере имен, отвечающем на запросы IN NS на основе данных, которые оннастроено так, что DNS-запрос дает меньше байтов, чем соответствующий ответ, как мы видим в приведенном выше выводе, и, следовательно, авторитетный или общедоступный рекурсивный DNS-сервер может использоваться в качестве усилителя DoS.выше, предоставив данные для корневой зоны на вашем официальном сервере имен.