

<br><font size=2 face="sans-serif">why not? beter handled by isc and done

in a clean way then 1.000.000 of dirty ways as these ;)</font>

<br><font size=2 face="sans-serif"><br>

-------------------------------<br>

Alberto Colosi<br>

IBM Global Business Services<br>

Sistemi Informativi S.P.A.<br>

IT NetWork & Security Department<br>

 *-* *-* *-*<br>

SECURITY IS EVERYONE'S BUSINESS<br>

<br>

Member of<br>

IBM Information Security WW CoP<br>

<br>

<br>

</font>

<br>

<br>

<br>

<table width=100%>

<tr valign=top>

<td width=40%><font size=1 face="sans-serif"><b>Mark Andrews <Mark_Andrews@isc.org></b>

</font>

<br><font size=1 face="sans-serif">Sent by: bind-users-bounces@lists.isc.org</font>

<p><font size=1 face="sans-serif">04/12/2008 00.26</font>

<td width=59%>

<table width=100%>

<tr valign=top>

<td>

<div align=right><font size=1 face="sans-serif">To</font></div>

<td><font size=1 face="sans-serif">bind-users@isc.org</font>

<tr valign=top>

<td>

<div align=right><font size=1 face="sans-serif">cc</font></div>

<td>

<tr valign=top>

<td>

<div align=right><font size=1 face="sans-serif">Subject</font></div>

<td><font size=1 face="sans-serif">Re: Dropping external recursive requests</font></table>

<br>

<table>

<tr valign=top>

<td>

<td></table>

<br></table>

<br>

<br>

<br><tt><font size=2><br>

One needs to be really, really careful here.  There are lots of<br>

unverifiable assumptions in the OP query.  Also rd being set my<br>

just be the result of someone testing with a tool which sets rd by<br>

default.<br>

<br>

Going silent on a query reponses protocol is not a good idea.  There<br>

are already too many firewalls / nameservers that do this to<br>

legitimate queries.  We really don't want to encourage this sort<br>

of behaviour.<br>

<br>

If it is a forged packet it should be dropped regardless of the setting<br>

of RD.  If the only reason to think the packet is forged is the setting<br>

of RD=1 then the OP has committed a reasoning error.<br>

<br>

Mark<br>

<br>

In message <1228329427.23380.8.camel@vlab.buxton.lan>, Chris Buxton

writes:<br>

> That ought to work, and work well.<br>

> <br>

> This will not impact outside name servers that query your name server,<br>

> because they send iterative queries. If they're sending recursive<br>

> queries, they're abusing your server. I can't see any problems with

this<br>

> approach.<br>

> <br>

> If you have authoritative data in the third view, make sure that when<br>

> the first view wants to look it up, its iterative query to the server<br>

> machine itself is routed through to the third view (rather than being<br>

> captured by the first view).<br>

> <br>

> Chris Buxton<br>

> Men & Mice<br>

> <br>

> On Tue, 2008-12-02 at 17:10 -0800, john@feith.com wrote:<br>

> > Our DNS server occasionally get requests for recursion with forged

src<br>

> > addresses.<br>

> > Currently our server returns "Standard query response, Refused"

since<br>

> > our named.conf<br>

> > only allows recursion for our internal machines.  This,

of course,<br>

> > results in the poor<br>

> > machine whose address was forged receiving spurious traffic.<br>

> > <br>

> > Some of the Cisco firewalls support DNS inspection and can be<br>

> > configured to drop<br>

> > requests which want recursion.  What are the ramifications

of enabling<br>

> > this?<br>

> > <br>

> > Can bind be configured to do this?  I was thinking about

something<br>

> > like:<br>

> > <br>

> > view "internal" {<br>

> >   match-clients { localhost; localnets; };<br>

> >   ...<br>

> > }<br>

> > <br>

> > view "external-recursive" {<br>

> >   match-clients { any; };<br>

> >   match-recursive-only yes;<br>

> >   blackhole { any};<br>

> > }<br>

> > <br>

> > view "external" {<br>

> >   ...<br>

> > }<br>

> > <br>

> > -- John<br>

> > john@feith.com<br>

> > _______________________________________________<br>

> > bind-users mailing list<br>

> > bind-users@lists.isc.org<br>

> > https://lists.isc.org/mailman/listinfo/bind-users<br>

> <br>

> _______________________________________________<br>

> bind-users mailing list<br>

> bind-users@lists.isc.org<br>

> https://lists.isc.org/mailman/listinfo/bind-users<br>

-- <br>

Mark Andrews, ISC<br>

1 Seymour St., Dundas Valley, NSW 2117, Australia<br>

PHONE: +61 2 9871 4742              

  INTERNET: Mark_Andrews@isc.org<br>

_______________________________________________<br>

bind-users mailing list<br>

bind-users@lists.isc.org<br>

https://lists.isc.org/mailman/listinfo/bind-users<br>

</font></tt>

<br>