lost and found ( for me ? )

DNS Unbound その2

Unbound はポイズニングのパケットをドロップする機能があるみたい。

Unboundを debug モードで起動。( unbound -v )
ちなみにバージョンは Unbound 1.2.1

LAN環境で、スプーフィングパケットをUnboundにおくりながら、
ログを監視してたら、こんなメッセージが出た。

# egrep drop /var/log/syslog | grep -i "74fb818000010001000100010a43" | uniq
unbound: [27278:0] debug: dropped message[92:0] 74FB818000010001000100010A4358767852777635384F076578616D706C6503636F6D0000010001C00C000100010000B133000401030307C017000200010000B13300080570776E6564C017C044000100010000B133000401030307

dropped 。。
この文字列はなんだろーと思って、パケットキャプチャのデータと見比べてみたら、
DNSのデータ部の文字列だった。

下記は、Wiresharkで、上記パケットを表示したときの画像。
上記ログの文字列と、Wiresharkで表示した、DNS部の文字列が一致している。




Unboundはスプーフィングパケットを監視していて、ドロップする機能があるように見える。
Unboundセキュアだなー。すごい。
BINDの代替となりそうだ。というか、BINDよりよさげな感じ。

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.