¿Cómo puedo ocultar mi número de versión del servidor DNS con comandos?

dig @ns1.ejemplo.com -c CH -t txt version.bind

¿Cómo ocultar la versión del servidor BIND9 en sistemas Linux / Unix?

Esto es de gran utilidad para incrementar la seguridad del servidor. Usted puede ocultar la versión pero siempre podrá usar la huella digital como su nombre de servidor para encontrar la versión exacta, usando la herramienta  fpdns.

Se debe abrir su archive named.conf y encontrar estás opciones { … }; y sesión,
options
{
        query-source    port 53;
        query-source-v6 port 53;
        listen-on { 174.ttt.xx.yy; };
        directory “/var/named”; // the default
        dump-file               “data/cache_dump.db”;
        statistics-file         “data/named_stats.txt”;
        memstatistics-file      “data/named_mem_stats.txt”;
        dnssec-enable yes;
        recursion no;
       allow-notify { 174.zzz.yy.zz; 172.xx.yy.zz; };
        version “BIND”;
};

Para ocultar la version de bind:
version "SU MENSAJE";
O
version "usar fpdns para obtener el número de versión ";
Guardar y cerrar el archivo. Reiniciar el servicio named, ingresando:
# service bind9 restart
O
# service named restart

¿Cómo puedo ver la version de bind?

Usando el commando dig se debe ingresar:
$ dig @ns1.softlayer.com -c CH -t txt version.bind

De forma habitual usted puede usar  fpdns para encontrar el número de la versión de BIND.

dnstop: Monitoreo del Servidor BIND DNS – Tráfico de red

¿Cómo puedo controlar Bind 9 (o cualquier otro servidor DNS) el servidor de tránsito / tráfico de red en Linux? ¿Cómo puedo saber y ver las consultas DNS actuales como A, MX, PTR y así sucesivamente en tiempo real? ¿Cómo puedo saber quién hace consultas en mi servidor DNS o dominio específico o direcciones específicas de los clientes?

El archivo de registro puede dar a conocer información requerida pero dnstop es el comando principal para el monitoreo del tráfico DNS. Es una pequeña herramienta para escuchar en el dispositivo o para analizar el archivo savefile y coleccionar e imprimir las estadísticas sobre la red local de tráfico de DNS. Usted debe tener acceso de lectura a /dev/BPF *. BPF (Berkeley Packet Filter) el cual proporciona una interfaz de datos crudos a las capas de enlace de datos en un protocolo independiente. Todos los paquetes en la red, incluso aquellos que estén destinados a otros hosts, son accesibles a través de este mecanismo.

dnstop puede leer los paquetes en directo desde el dispositivo de captura, o de un tcpdump savefile.

Instalar dnstop

Tipie el siguiente comando bajo  Debian / Ubuntu Linux:
$ sudo apt-get update
$ sudo apt-get install dnstop

Una nota sobre Red Hat / CentOS / RHEL / Fedora Linux

Instale la última versión del comando make (ver más abajo para el RPM binario de archivo). En primer lugar debe obtener el fuente de los archivos desde el sitio oficial dnstop  (http://dns.measurement-factory.com/tools/dnstop/src/).
# cd /tmp
# wget http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20080502.tar.gz
# tar -zxvf dnstop-20080502.tar.gz
# cd dnstop-20080502
Compile e instale dnstop, ingresando:
# ./configure
# make
# make install

dnstop archivo rpm

Si lo prefiere, puede descargar dnstop rpm de Dag repositorios para RHEL / CentOS / Fedora Linux.

¿Cómo puedo ver el tráfico con dns dnstop?

Simplemente, escriba el siguiente comando en un intérprete de comandos para controlar el tráfico para la interfaz eth0:
# dnstop {interface-name}
# dnstop eth0
# dnstop em0
Salida simple:
2 new queries, 220 total queries                  Mon Aug  4 05:56:50 2008
Sources              count      %
—————- ——— ——
116.248.xxx.26          72   32.7
76.89.xx.108             7    3.2
186.xxx.13.108           5    2.3
50.xxx.94.39             4    1.8
148.xx.77.83             4    1.8
137.xxx.149.23           4    1.8
xxx.13.249.70            4    1.8
3.xxx.169.102            4    1.8
154.xx.191.127           4    1.8
xxx.239.194.12           3    1.4

Usted puede forzar que dnstop mantenga la cuenta de los nombres de dominio de nivel usando la opción -l {level}. Por ejemplo, con -l 2 (por defecto), dnstop mantendrá dos tablas: una con los nombres de dominios principal (tales como .com, .org, .biz, etc), y otra con dominios de segundo nivel (tales como co.in, col.uk).
# dnstop -l 3 eth0
En Debian / Ubuntu Linux, usted debe ingresar:
# dnstop -t -s eth0
Donde,

• -s Monitorea dominios de segundo nivel
• -t Monitorea dominios de tercer nivel

Tenga en cuenta que el aumento del nivel proporciona más detalles, pero también requiere más memoria y CPU para realizar un seguimiento del tráfico de DNS.

¿Qué debo hacer para salir o reiniciar contadores?

Para salir o salir de dnstop, pulsar ^X (presionar la tecla [CTRL] y luego la tecla X). Presionar ^R para resetear todos los contadores.

¿Cómo averiguar  cuál TLD está generando mayor cantidad de tráfico?

Mientras ejecutamos, presione la tecla 1 para ver el primer nivel de la consulta de nombres (TLDs):
5 new queries, 1525 total queries                 Mon Aug  4 06:11:09 2008

TLD                                count      %
—————————— ——— ——
com                                  520   34.1
net                                  502   32.9
in-addr.arpa                         454   29.8
in                                    23    1.5
org                                   15    1.0
biz                                   11    0.7

Usted puede obtener más información del servidor DNS sobre porque está proporcionando más consultas al TLD .com. usted puede encontrar más información acerca del actual dominios presionando la tecla 2 mientras ejeucta dnstop:
3 new queries, 1640 total queries                 Mon Aug  7 06:12:20 2008

SLD                                count      %
—————————— ——— ——
codigomaestro.com                    557   34.0
microsoft.com                         556   33.9
74.in-addr.arpa                       34    2.1
208.in-addr.arpa                      29    1.8
195.in-addr.arpa                      28    1.7
192.in-addr.arpa                      27    1.6
64.in-addr.arpa                       27    1.6
Para encontrar los dominios de nivel, presione la tecla 3:
www.condigomaestro.com         60   39.0
¿Qué debo hacer para mostrar el desglose de los tipos de consultas visto?

Usted puede encontrar fácilmente la consulta más solicitada, por consultas del tipo A, AAAA, PTR, etc; presionando la tecla t
Query Type     Count      %
———- ——— ——
A?               224   56.7
AAAA?            142   35.9
A6?               29    7.3

Opción de ayuda

Si usted desea saber más opciones disponibles para dnstop, simplemente tipie ? para visualizar la ayuda.

Primero que nada el registro SOA, es el Registro de “Start of Authority” para un dominio. Contiene identificadores del servidor de nombres con autoridad sobre la denominación y su operador, y diversos contadores que regulan el funcionamiento general del sistema de nombres de dominio (DNS) para la denominación. Todo servidor de nombres de una denominación debe responder a una consulta por el registro SOA de esa denominación en forma autoritativa.

Además escribe los valores por defecto para el resto de parámetros de registro SOA en los archivos de zona que mantiene.

Dentro de los valores SOA se pueden configurar varios parámetros de opciones.

1. • TTL. Esto es el tiempo que los servidores DNS deben guardar el registro en el caché. Plesk establece el valor por defecto de un día.
   • Actualizar. Esto es la frecuencia con la que los servidores de nombres secundarios verifican el servidor de nombres primarios para ver si se han realizado cambios en el archivo de zona de dominio. Plesk establece el valor por defecto de tres horas.
   • Volver a Intentar. Esto es el tiempo que un servidor secundario espera para recuperar una transferencia de zona fallida. Este tiempo suele ser menor al intervalo de actualización. Plesk establece el valor por defecto de una hora.
   • Expirar. Esto es el tiempo antes que un servidor secundario deje de responder a las búsquedas una vez se haya producido un intervalo de actualización de la zona. Plesk establece el valor por defecto de una semana.
   • Mínimo. Esto es el tiempo en que un servidor secundario debe cachear una respuesta negativa. Plesk establece el valor por defecto de tres horas.
   • Número de Serie: Puede estar en varios formatos, tanto en IETF o en Unix-timestamp (menos utilizado).
   • Persona responsable: Contiene la dirección de correo electrónico de la persona responsable donde la @ es un . (punto).
   • Propietario: Es el nombre de dominio de la zona.

El uso del formato de número de serie recomendado por IETF y RIPE es obligatorio para muchos dominios registrados en algunas zonas DNS de alto nivel, mayoritariamente europeas. Si su dominio está registrado en una de estas zonas y su registrador no acepta su número de serie SOA, el uso del formato de número de serie recomendado por IETF y RIPE debería solucionar esta incidencia.

Los servidores que usan la sintaxis UNIX-timestamp para configurar zonas DNS. UNIX timestamp es el número de segundos desde el 1 de enero del 1970 (Unix Epoch). El timestamp 32-bit finalizará el 8 de julio del 2038.

RIPE recomienda usar el formato YYYYMMDDNN , donde YYYY es el año (cuatro dígitos), MM es el mes (dos dígitos), DD es el día del mes (dos dígitos) y nn es la versión para día (dos dígitos). El formato YYYYMMDDNN no finalizará hasta el año 4294.

¿Cómo puedo verificar si mi proveedor de acceso a Internet o mis propias DNS recursivas están libres del fallo de  resolución de la cache DNS que fue divulgada por Dan kamisnky el 7 de agosto? ¿Cómo puedo probar mi servidor DNS y la contaminación de la cache o el error de polución de la caché DNS?

Envenenamiento de caché DNS (también conocido como polución de la cache DNS) es una forma maliciosa que crea una situación que proporciona datos a un servidor de nombres de dominio que no proceden de fuentes autorizadas DNS. Se puede realizar ataques de “spoofing” en estos casos. Un atacante malicioso envía datos y una respuesta no segura de datos se obtiene por la consulta DNS. Por ejemplo una consulta DNS consulta para www.microsoft.com puede ser redirigida a www.ejemplo.com. Pero tenemos la interrogante de cómo saber si nuestro DNS está asegurado o no por la contaminación de la cache DNS.

Visitando el sitio de Dan Kaminsky en el sitio http://www.doxpara.com/  usted puede verificar las DNS de su proveedor de acceso a Internet ISP.

Además usted puede usar las siguientes líneas de comandos con el comando dig y después presionar, aceptar o la tecla enter:

Ejemplo de salida:

Otra prueba,
$ dig +short @195.100.47.112 porttest.dns-oarc.net txt

Salida:
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
“195.100.47.112 is POOR: 42 queries in 5.3 seconds from 1 ports with std dev 0.00″

Si bien podemos verificar mediante el comando dig en Linux si nuestro ISP es vulnerable al fallo en las DNS, en este caso se brindará un procedimiento para hacerlo a través de los sistemas Windows que usan la mayoría de los usuarios.

Usted puede utilizar el comando nslookup de la siguiente forma (abrir el símbolo del sistema desde Menú Inicio > Ejecutar > tipiar “cmd” > Aceptar:

nslookup -type=txt -timeout=30 porttest.dns-oarc.net
nslookup -type=txt -timeout=30 porttest.dns-oarc.net ns1.su-isp.com
nslookup -type=txt -timeout=30 porttest.dns-oarc.net NS-IP-DEL-SERTVIDOR

Usted debe observar la palabra GOOD en caso contrario sus DNS están proclives a ser atacadas.

Muchas veces necesitamos activar los registros de los eventos de las consultas en BIND DNS Server, para ello debemos realizar un fácil procedimiento:

Ingresar como usuario root en su servidor Linux CentOS o RHEL, y luego usted debe utilizar este comando para poder activar o habilitar los registros de las consultas sobre BIND.

# rndc querylog

Para verficar que los registros de las consultas DNS están activas en BIND es suficiente, colocar este comando:

# rndc status

Cuando tenemos un servidor DNS en Linux con el panel de control cPanel o Parallels es necesario configures las DNS para que el propio servidor se encargue de realizar las consultas DNS a nivel interno, esto agiliza la operatividad para las consultas internas, además de mantener el servidor con respuestas autoritativas sobre los dominios.

Configurar el servidor DNS en cPanel / Parallels o Plesk.

Usted debe editar con algún editor del sistema el archivo /etc/resolv.conf

Una vez hecho esto y guardado los cambios, ya se resolverá las DNS en el propio servidor.

Si tenemos la necesidad de verificar las DNS inversas para determinadas direcciones IP bajo sistemas Linux o Windows XP/Server 2003/Vista/2008; debemos realizar una búsqueda inversa de DNS (también conocida como rDNS) que es un proceso para determinar el nombre del equipo (hostname) asociado con la dirección IP proporcionada.

Típicamente las DNS (sistema de nombre de dominio) se utiliza para determinar qué dirección IP está asociada con un determinado nombre de equipo, entonces para resolver una dirección IP conocida a su inversa, es necesario buscar el nombre de equipo asociado a la dirección IP. Una búsqueda inversa es a menudo llamada simplemente como resolución inversa, o más específicamente búsqueda  DNS inversa.

Los usos más comunes para las DNS inversas son:
=> Anti-spam.
=> Problemas de Redes.
=> Evitar el spam y phishing utilizando la confirmación del inverso del DNS, etc.

Usted puede usar las utilidades estándares en Unix / Linux tales como el comando nslookup,  o equipos para encontrar los inversos DNS para una dirección IP proporcionada.

Ejercicio: Encontrar el inverso DNS de la IP 72.14.207.99 con Linux/UNIX

$ equipo 72.14.207.99

Salida:

Ejercicio: Encontrar el Inverso DNS para IP 72.14.207.99  en Linux / UNIX / Windows

nslookup trabaja también en sistemas Windows y Unix de esta forma:

nslookup 72.14.207.99

Salida de nslookup en Unix o Linux:

Salida de nslookup en Windows: