Qui demande des AXFR ?

Le
Olivier Masson
Bonjour,

J'ai de temps à autre des requêtes AXFR, rejetées car je n'autorise que
mon serveur secondaire (par encore configuré).
Mais pourquoi mon NS reçoit ces requêtes.
J'ai notamment eu une demande de http://planet-lab1.cs.ucr.edu/ puis de
http://planetlab-1.it.uu.se/ ; ce n'est pas donc pas un "hasard".

Serait-il judicieux de bannir l'ip pour un moment après quelques
demandes insistantes ?

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Franck
Le #6987991
Olivier Masson wrote:
J'ai de temps à autre des requêtes AXFR, rejetées car je n'autorise que
mon serveur secondaire (par encore configuré).
Mais pourquoi mon NS reçoit ces requêtes.


Certains arrivent à déduire l'organisation d'un réseau à partir des noms
des machines/sous domaines qui s'y trouvent, parait-il...

J'en vois aussi dans mes logs, je n'y prête pas attention. Si ça les
amuse de se casser les dents sur les ACL de mon bind, qu'ils continuent.

Serait-il judicieux de bannir l'ip pour un moment après quelques
demandes insistantes ?


A partir du moment où elles sont rejetées je ne vois pas l'intérêt de
rajouter une couche de protection en plus...

Raphael Bouaziz
Le #6987981
Le Thu, 12 Jun 2008 16:18:31 +0200, Olivier Masson a écrit
dans le message
J'ai de temps à autre des requêtes AXFR, rejetées car je n'autorise que
mon serveur secondaire (par encore configuré).
Mais pourquoi mon NS reçoit ces requêtes.


Ce peut-être des serveurs utilisés par :

(1) un registrar qui tente de vérifier qu'un domaine est bien configuré
(2) un site web public qui propose d'analyser des zones DNS
(3) un curieux qui cherche effectivement à optenir le contenu des zones

Notamment pour le (1), suivant ce que le serveur héberge, il faut
souvent faire une autorisation d'AXFR, pour l'AFNIC ou le RIPE
par exemple.

--
Raphael Bouaziz.

Patrick Mevzek
Le #6989261
Le Thu, 12 Jun 2008 16:18:31 +0200, Olivier Masson a écrit:
J'ai de temps à autre des requêtes AXFR, rejetées car je n'autorise que
mon serveur secondaire (par encore configuré).
Mais pourquoi mon NS reçoit ces requêtes.
J'ai notamment eu une demande de http://planet-lab1.cs.ucr.edu/ puis de
http://planetlab-1.it.uu.se/ ; ce n'est pas donc pas un "hasard".


Comme l'indique les sites web que vous mentionnez, ce sont a priori des
chercheurs.
En ce moment, il y a pas mal d'étude qui tournent notamment sur l'usage
d'IPv6 (présence d'AAAA dans les zones DNS) et de DNSSEC (présence de ...
plein de choses dans les zones DNS :-)), et donc les contenus en
intégralité des zones sont utiles.

Serait-il judicieux de bannir l'ip pour un moment après quelques
demandes insistantes ?


Non, autoriser ou non les AXFR est un peu une question de goût, donc soit
vous les refusez systématiquement pour tout le monde (sauf vos
secondaires), soit vous autorisez pour tout le monde, et dans ce dernier
cas de figure je doute qu'une quelconque source écroule votre serveur
juste à cause d'AXFRs et donc la politique « tout autoriser, sauf » ne
fournira pas de gain intéressant.

PS: ne pas oublier que si sur une zone les différents serveurs
autoritaires ne sont pas configurés pareil par rapport à la gestion des
AXFR, bah au final la zone est potentiellement accesible via AXFR.

--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co

Olivier Masson
Le #6994321
Merci à tous les 3 pour vos réponses.

Je laisse comme ça. Si en plus je fais partie d'une recherche...
Publicité
Poster une réponse
Anonyme