Computerbeveiliging - Hoe je bad guys buiten de deur houdt

reverse dns

24-02-2014, 13:18 door Anoniem, 8 reacties
ik vraag mij als beginner af waarom een lan-client reverse dns queries pleegt, zoals PTR 2.15.168.192.in-addr.arpa. (met als antwoord: No such name), indien je zelf geen web- of mailserver draait. Als ik vervolgens naar bron poorten kijk, vind ik bijvoorbeeld 3680 (npds-tracker) hetgeen mij ook niet vrolijker maakt?
Reacties (8)
24-02-2014, 15:32 door Anoniem
met een goede verwijzing zou ik ook geholpen zijn.
na een paar dagen lezen, ben ik niet veel wijzer van wikipedia en dergelijke
zou een aardig persoon mij niet verder op weg willen helpen?
24-02-2014, 16:12 door [Account Verwijderd] - Bijgewerkt: 24-02-2014, 16:15
In computer networking, reverse DNS lookup or reverse DNS resolution (rDNS) is the determination of a domain name that is associated with a given IP address using the Domain Name System (DNS) of the Internet.

[...]

A forward-confirmed reverse DNS (FCrDNS) verification can create a form of authentication showing a valid relationship between the owner of a domain name and the owner of the server that has been given an IP address. While not very thorough, this validation is strong enough to often be used for whitelisting purposes, mainly because spammers and phishers usually can't pass verification for it when they use zombie computers to forge domains.
source:https://en.wikipedia.org/wiki/Reverse_DNS_lookup
Kan best zijn dat je AV of iets dergelijks dit doet.

Port 3680 is wel registered, maar niet een wellknown port. Dus terwijl het niet wordt aangeraden, kan dit poortje door iedere programma gebruikt worden, niks speciaals
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
24-02-2014, 16:14 door Anoniem
Webservers doen OHA geen reverse queries. Mail servers wel, in het kader van de spambestrijding. Wat je met "lan-client" bedoelt is me niet helemaal duidelijk, maar er is genoeg software die wel reverse queries doet. Ook voor RFC1918 adressen, en die queries vervuilen inderdaad het internationale DNSverkeer. Ook lekt het informatie. Het is dan ook geen slecht idee om op je lokale netwerk je eigen DNS server te draaien die zowel cache voor "van buiten" doet, als reverse voor je eigen subnetje.

En dat de meeste huis-tuin-en-keuken NATroutermodemswitchAPapparaten dat gewoon niet doen is inderdaad best heel slordig.

Die poorten waar je aan refereert zouden best gewoon willekeurig gekozen kunnen zijn (binnen een reeks, bv. 1024 en kleiner zal je niet snel tegenkomen of het moet 53 zijn) en dus hoeven de diensten die er bij lijken te horen niet aan te staan, of zelfs maar op die machine aanwezig te zijn.
24-02-2014, 16:51 door Anoniem
dank je wel.
dit wikipedia antwoord vond ik dus ontoereikend als verklaring waarom een ip4 lan-adres extern uitgevraagd moet worden zonder zelf services aan het web aan te bieden, waardoor een reverse check te begrijpen zou zijn.
24-02-2014, 18:41 door Anoniem
De meeste software kent geen onderscheid tussen RFC1918-adressen en publieke adressen. Doet een machine dus een reverse DNS-aanvraag op zo'n adres dan volgt die hetzelfde pad als alle andere DNS-aanvragen. Heb je "publieke" DNS-servers geconfigureerd (gekregen) dan gaan die aanvragen dus daarheen.

Ook nog even uitzoeken wat het verschil is tussen "het wereldwijde web" en "het internet".
25-02-2014, 11:37 door Anoniem
Er zijn vele applicaties die een reverse lookup doen. Dat is geen enkel probleem. Mail is er een van, maar ook applicaties die tunnels opzetten zoals SSH en VPN software doen dit. En vergeet tegenwoordig al die apps niet die via allerlei apparaten hun verbindingen met het internet onderhouden. Dus er zijn vele mogelijkheden. Als je er zeker van wil zijn wat het is, moet je bijvoorbeeld met Wireshark het verkeer monitoren.

Het feit dat je een origin poort ziet van 3680 is ook volledig normaal. Een DNS client (bijvoorbeeld jouw PC) zal altijd een poortnummer boven de 1024 kiezen als uitgaande poort. De destination poort zal UDP of TCP 53 zijn.

Het maakt hierin niet uit of je private of publieke adressen (RFC1918) gebruikt. Het is gewoon hoe het DNS protocol werkt. Echter zal je zien dat vele van de publieke reverse DNS entries niet werken. Dit omdat ze gewoon niet zijn aangemaakt of omdat niemand de betreffende reverse zone host.
25-02-2014, 17:37 door Anoniem
Door Anoniem:Ook nog even uitzoeken wat het verschil is tussen "het wereldwijde web" en "het internet".
Het internet is het geheel van met elkaar verbonden computernetwerken. Het world wide web is de verzameling webpagina's die op webservers via hyperlinks naar elkaar (en naar afbeeldingen, stylesheets, bestanden die je kan downloaden etc.) verwijzen. Het world wide web is maar één van de vele toepassingen waarvoor het internet wordt gebruikt. E-mailservers wisselen onderling berichten uit op een heel andere manier, aan SSH-toegang komt geen webserver te pas, dat zijn zaken die geen onderdeel zijn van het world wide web, maar wel van het internet.
28-02-2014, 16:58 door Anoniem
je computer gaat ervan uit dat alles wat niet lokaal bekent is (in je lmhosts, zoals 127.0.0.1 localhost) aan een dns op het internet gevraagd moet worden.

je kunt het op twee manieren oplossen

een interne dns waar je bijvoorbeeld alle verzoeken BEHALVE wat je zelf definieert forward naar je publiek interweb dns server, daar moet je dan het adres 192.168.15.2 via bijvoorbeeld dhcp een vaste lease geven of als static definieeren en in je dns een record geven met een lokale naam.

of je laat het queryen voor onbekende adressen naar dns stoppen door statisch in je lmhosts te definieren. moet je even googlen of reacties hierboven lezen voor welke precieze windows bestanden je lokale adressen in staan.

het probleem wat je hier beschrijft is dus, nogmaals misschien maar voor de duidelijkheid,

het geautomatiseerd queryen naar dns voor naam gegevens bij gebruik (communicatie) met dat interne ip.

soms kan je ook in internet explorer naamomzetting voor lokale adressing uitschakelen (ofzo).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.