Message-ID: <19980106224800.35580@drawbridge.in-berlin.de>
Date: Tue, 6 Jan 1998 22:48:00 +0000
From: Wolfgang Jung <woju@drawbridge.in-berlin.de>
To: Arnold.Melm@home.ivm.de
Subject: Re: relocator
In-Reply-To: <199801061516.QAA00680@Biene.Honig.net>; from Arnold.Melm@bonn.netsurf.de on Tue, Jan 06, 1998 at 04:16:43PM +0100
On Tue, Jan 06, 1998 at 04:16:43PM +0100, Arnold.Melm@bonn.netsurf.de wrote:
> als Informatik-Unkundiger erlaube ich mir mal hier eine laienhafte
> Frage, Ihr moeget es mir verzeihen ;-)
>
> Doch zunaechst erst einmal das Statement, auf das ich mich beziehe (es
> ging um named):
>
>
> On 5 Jan, Andreas Jellinghaus wrote:
> > warum ? die daten können doch ruhig lange gecached werden.
> > denn der host, der anfragt wird jederzeit wieder die gleiche antwort
> > erhalten. jeder host bekommt seine persönliche auskunft, welchen rechern
> > er wählen soll (grundlage ist nicht load balancing, sondern wo in der welt
> > der rechner steht) diese information darf der rechner dann ruhig lange
> > cachen, und auch lokal weitergeben.
>
>
> Ergibt sich dadurch nicht ein Sicherheitsproblem? Der named glaubt doch
> jedem anderen named. Wenn nun ein nicht ganz netter Nameserver einem
> anderen eine Antwort gibt, nach der er gar nicht gefragt hat und diese
> fake ist, dann wuerde eine gecachte fake-address moeglichst lange
> gespeichert, so dass jmd. ganz einfach und lange(!) Daten auf seine
> Adresse oder ins Nirvana leiten koennte.
Diese problem hast Du aber egal, ob Du eine IP oder mehrere IP fuer
einen HOST hast.
Und dazu muesste die Antwort des FAKE'ers ja mit der absenderIP des
wahren Nameservers kommen, dh es muss einer dazwischen sein der
a) den request abfaengt und dann
b) mit gefaelschter IP antwortet.
das ist aber wie gesagt unabhaengig davon, ob Du auf einen HOST
mehr als eine IP bekommen kannst.
Es ist in jedem Fall wichtig sicherzustellen, dass ein fragender
client immer EINE echte IP bekommt.
Wie man das zZ realisiert muss man sich wohl in den derzeitigen BIND
Sourcen ansehen muessen ;( es sei denn einer kann das kurz darstellen
>
> Irrt hier mein technisch unwissender Verstand? - Bitte klaert mich
> diesbezueglich auf!
>
> Achja, muss mich noch mit neuer Adresse subscribieren ...
;) tue das ;)
Gruss
Wolfgang
--