named: query (cache) 'isc.org/ANY/IN' denied

[clausekowski]

Huhu,

im syslog finde ich massenhaft solche Einträge:

named[21929]: client [IP entfernt]#15335: query (cache) 'isc.org/ANY/IN' denied

Von diversen IPs, aber immer für die Domain isc.org (also BIND). Wie kommen diese Einträge zustande? Fragt da jemand mein bind nach den DNS-Einträgen für die Domain isc.org (wohl wissend, dass diese Domain nicht auf meinem Server liegt) nur um zu sehen wie mein Server darauf antwortet? Oder was passiert da genau? Wie kann man solche Requests gezielt absetzen und die Serverantwort einsehen? Würde das gerne verstehen und freue mich auf Hinweise. Vielen Dank vorab!

 

[Roger Wilco]

Fragt da jemand mein bind nach den DNS-Einträgen für die Domain isc.org (wohl wissend, dass diese Domain nicht auf meinem Server liegt) nur um zu sehen wie mein Server darauf antwortet?

Ja.

Wie kann man solche Requests gezielt absetzen und die Serverantwort einsehen?

`dig @dein-name-server isc.org ANY`, man dig

 

[clausekowski]

Herzlichen Dank, wieder was gelernt. Wenn ich das für fremde Domains teste, für die mein Server nicht Nameserver ist, dann bekomme ich als Antwort "status: REFUSED" und "recursion requested but not available". Das erscheint mir sinnvoll.

Was ich nicht kapiere: Was haben die Leute davon diese Anfragen immer wieder zu stellen? Ich habe da von einigen IPs diese Anfragen über viele Tage einmal jede Stunde im Log stehen. Sind solche Anfragen normal und gehören sozusagen dazu, wie z.B. Portscans? Ist es ratsam sowas mit Fail2Ban zu blockieren? Wie geht ihr damit um?

 

[clausekowski]

Habe einige Hundert dieser Einträge täglich von unterschiedlichen IPs im syslog:

Jan 11 14:41:43 host named[21999]: client [IP entfernt] query (cache) 'isc.org/ANY/IN' denied

Je IP erfolgen im Schnitt ein Dutzend dieser Zugriffe. Für einen wirksamen DOS-Angriff sind es viel zu wenige Zugriffe und die zeitlichen Abstände betragen mehrere Sekunden. bind und der Server an sich sind auf dem aktuellen Stand, daher sehe ich das eigentlich ganz entspannt. Dennoch frage ich mich wie ich diese Zugriffe deuten sollte. Was haltet ihr davon?

 

[Roger Wilco]

Das könnte generell einfach ein Scanner sein, der bestimmte IP-Adressbereiche abgrast und nach mit bestimmten Eigenschaften Nameservern sucht.

Generell würde ich mir diesbezüglich keine Sorgen machen…