in Linux-Ubuntu

Lame Server Resolving Logs and Faking Bind Version

Saya pernah menemukan suatu baris ngga umum saat saya membaca log dari mesin yang menjalankan service DNS. Mungkin bukan sesuatu yang berbahaya tapi yang pasti bukan sesuatu yang umum di log mesin saya, begini contoh log-nya;

lame server resolving ‘132.164.124.222.in-addr.arpa’ (in ‘164.124.222.in-addr.arpa’?): 203
.130.196.5#53
lame server resolving ‘ns2.samclarke.com’ (in ‘samclarke.com’?): 69.16.198.25#53
lame server resolving ‘ns1.sepaku.org’ (in ‘sepaku.org’?): 216.16.246.74#53

Baris-baris seperti itu muncul lumayan banyak juga, karena penasaran saya lalu mencari maksud dari log tersebut dan ternyata ada penjelasan seperti berikut

If you look in your message logs, you may see an error about a “lame server”. A lame server is when the NS record for a domain specifies a server that is not authoritative for the domain. For example, the NS record for www.domain.com may list ns1.domain.com as one of its nameserver; however, if you actually query ns1.domain.com, the nameserver does not answer as an authoritative server. The latter is do to a mis-configuration of that nameserver not yours. Lame servers are increasingly common as more and more people run their own DNS — often with improper configurations.

Jadi kira-kira kesalahan konfigurasi pada mesin DNS bisa saja menyebabkan server DNS menjadi Lame Server. Karena sudah yakin bahwa konfigurasi di mesin saya tidak ada yang keliru, maka saya memutuskan untuk tidak menyertakan logging lame server [abis menuh-menuhin sih :P] tapi kalo memang dirasa perlu ya silahkan saja di log terus… ;)

Untuk membuat logging lame server berhenti, sertakan baris ini di dalam konfigurasi options BIND yang ada di /etc/bind/named.conf.options. Ini untuk mesin ubuntu dan keluarga debian, kalo distro lain tinggal langsung taro di file named.conf kayaknya…

logging {
category lame-servers { null; };

};

Setelah opsi itu ditambahkan maka Lame Server tidak akan dicatat lagi di Log dan setidaknya membantu menghemat space Hardisk :D

Lalu kalo Anda ingin membuat fake version Bind di server maka tambahkan juga di dalam file yang sama baris

version “versi yang ingin ditulis terserah berapa”;

Ini bisa mengelabui orang-orang yang mungkin mencoba iseng dengan Bind, karena jaman dulu Bind pernah punya kelemahan yang cukup kritis jadi banyak orang yang cukup iseng sama Bind. Jadi isi file /etc/bind/named.conf.options yang lengkap di tempat saya itu kayak gini

options {
version “hayo ini bind versi berapa…?”;
directory “/var/cache/bind”;

auth-nxdomain no; # conform to RFC1035

};

logging {
category lame-servers { null; };

};

dan ini hasil query dig @ip-mesin-DNS version.bind chaos txt [ganti ip dengan ipserver] sebelum versinya diganti

; <<>> DiG 9.3.2 <<>> @ version.bind chaos txt
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15654
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind. CH TXT

;; ANSWER SECTION:
version.bind. 0 CH TXT “9.3.2”

;; AUTHORITY SECTION:
version.bind. 0 CH NS version.bind.

Bandingkan dengan query setelah file konfigurasi diganti

; <<>> DiG 9.3.2 <<>> @ version.bind chaos txt
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28870
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind. CH TXT

;; ANSWER SECTION:
version.bind. 0 CH TXT “hayo ini bind versi berapa…?”

;; AUTHORITY SECTION:
version.bind. 0 CH NS version.bind.

Demikian dokumentasi ini dibuat walaupun ini sudah saya coba sejak lama tapi baru ditulis sekarang :(. Konfigurasi ini tidak membuat Bind anda menjadi sangat secure, tapi setidaknya bisa membantu sedikit ;)

referensi :

http://www.rackaid.com/resources/tips/ensim-bind.cfm

Write a Comment

Comment

Riddle * Time limit is exhausted. Please reload CAPTCHA.