ISP Blog - Fachbereich Informatik

Technische Infos über den ISP Betrieb

Probleme im Pool / DNS

Wir haben heute mal wieder massive DNS Probleme, weshalb vermutlich eine Menge Probleme im Pool auftauchen. Seit einiger Zeit testen „böse Menschen“ das Uni Netz durch, um „anfällige“ DNS Server zu finden.
„Anfällige DNS Server“ bedeutet konkret, dass die Server rekursive Anfragen von überall erlauben. Heißt: ein dig heise.de @{offener DNS} liefert die IP von heise.de. Wenn man nun nicht nur einen einzelnen Host abfragt, sondern ganze Netze, hat man eine sogenannte „DNS amplification“ Attacke.

Da es einige Server im Uni Netz gibt die anfällig dafür sind (aber nicht RBG/ISP), und diese teils wiederum auf die HRZ DNS Server verweisen, haben die Kisten bei denen gut zu tun. Im Augenblick ist es sogar so, dass viele RBG Server nicht mehr gelistet werden, je nachdem welcher HRZ DNS Server per DHCP od. auf dem Poolclient befragt wird.

ISP/RBG besitzt selbst keinen eigenen DNS Server mehr, da für uns nur doppelter Verwaltungskram anfiel, ohne einen wirklichen Vorteil davon zu haben. Wir nutzen nur noch „dnsmasq“ (DNS Caching Daemon), der wiederum auf die Server vom HRZ zeigt. Und damit wären wir wieder bei dem ursprünglichen Problem.

Als Workaround habe ich nun alle RBG/ISP Hosts in die /etc/hosts gepackt, sodass mit dem DNS 130.83.160.60 zumindest die RBG/ISP Server wieder erreichbar sind. Für die Poolclients gilt dies erst nach einem reboot.

Updated: 29. April 2014 — 15:57
ISP Blog - Fachbereich Informatik © 2017 Frontier Theme