<p dir="ltr">Absolutely there is a division of traffic. One set of servers hosting domains for the outside and another set with no inbound port 53 other than stateful replies to internally generated queries.</p>
<p dir="ltr">Just looking to prioritize patching schedules. </p>
<div class="gmail_quote">On Jul 28, 2015 7:33 PM, "/dev/rob0" <<a href="mailto:rob0@gmx.co.uk">rob0@gmx.co.uk</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Jul 28, 2015 at 07:06:16PM -0400, Ben Croswell wrote:<br>
> Is it safe to say the only vulnerable hosts would be those<br>
> accepting queries from the outside world, or would this also<br>
> pertain servers getting responses from the outside world with<br>
> no inbound queries?<br>
<br>
I would ask where does the "outside world" begin?  Many sites serve<br>
users with vulnerabilities.  Have you ever had botnet traffic<br>
originating from your network?  (I have, not fun.)<br>
<br>
Otherwise your premise is valid; the malicious query comes to your<br>
named via port 53 UDP or TCP, not as a reply from another server.<br>
But if you're thinking it's okay because you're going to deny the<br>
query, no!  This happens before named gets to that point.  Your<br>
nameserver must be closed to ALL potentially hostile queries.<br>
--<br>
  <a href="http://rob0.nodns4.us/" rel="noreferrer" target="_blank">http://rob0.nodns4.us/</a><br>
  Offlist GMX mail is seen only if "/dev/rob0" is in the Subject:<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>