J'ai de temps à autre des requêtes AXFR, rejetées car je n'autorise que
mon serveur secondaire (par encore configuré).
Mais pourquoi mon NS reçoit ces requêtes.
J'ai notamment eu une demande de http://planet-lab1.cs.ucr.edu/ puis de
http://planetlab-1.it.uu.se/ ; ce n'est pas donc pas un "hasard".
Serait-il judicieux de bannir l'ip pour un moment après quelques
demandes insistantes ?
Merci.
Certains arrivent à déduire l'organisation d'un réseau à partir des noms
des machines/sous domaines qui s'y trouvent, parait-il...
J'en vois aussi dans mes logs, je n'y prête pas attention. Si ça les
amuse de se casser les dents sur les ACL de mon bind, qu'ils continuent.
> Serait-il judicieux de bannir l'ip pour un moment après quelques
> demandes insistantes ?
A partir du moment où elles sont rejetées je ne vois pas l'intérêt de
rajouter une couche de protection en plus...
Ce peut-être des serveurs utilisés par :
(1) un registrar qui tente de vérifier qu'un domaine est bien configuré
(2) un site web public qui propose d'analyser des zones DNS
(3) un curieux qui cherche effectivement à optenir le contenu des zones
Notamment pour le (1), suivant ce que le serveur héberge, il faut
souvent faire une autorisation d'AXFR, pour l'AFNIC ou le RIPE
par exemple.
--
Raphael Bouaziz.
Comme l'indique les sites web que vous mentionnez, ce sont a priori des
chercheurs.
En ce moment, il y a pas mal d'étude qui tournent notamment sur l'usage
d'IPv6 (présence d'AAAA dans les zones DNS) et de DNSSEC (présence de ...
plein de choses dans les zones DNS :-)), et donc les contenus en
intégralité des zones sont utiles.
> Serait-il judicieux de bannir l'ip pour un moment après quelques
> demandes insistantes ?
Non, autoriser ou non les AXFR est un peu une question de goût, donc soit
vous les refusez systématiquement pour tout le monde (sauf vos
secondaires), soit vous autorisez pour tout le monde, et dans ce dernier
cas de figure je doute qu'une quelconque source écroule votre serveur
juste à cause d'AXFRs et donc la politique « tout autoriser, sauf » ne
fournira pas de gain intéressant.
PS: ne pas oublier que si sur une zone les différents serveurs
autoritaires ne sont pas configurés pareil par rapport à la gestion des
AXFR, bah au final la zone est potentiellement accesible via AXFR.
--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co
<http://www.dotandco.net/> <http://www.dotandco.com/>
Je laisse comme ça. Si en plus je fais partie d'une recherche...