Am Thu, 03 Nov 2011 04:56:44 +0100 schrieb Wolfgang centos@arcor.de:

...

kann - z.B. auch per manipuliertem reply.

Möglicher Schutz? Begrenzung der Packetgröße für DNS? (Wie müsste dann die iptables-Zeile aussehen?) Welchen Schutz verwendest Du?

DNS-replies können ganz regulär sehr groß sein. Erst recht seit IPv6, dessen AAAA-records durchaus auch via V4 verteilt werden und sowieso zwischen master und slaves einer domain.

Primärer Schutz gegen Eindringlinge via Programmfehler ist regelmäßiges Bugfixing/Update. Das läuft ja bei CentOS recht komfortabel, aber klar: Wenn's blöd läuft, dauert das bei CentOS Wochen bis Monate, bis ein Bugfix aus den RHEL-Universum im CentOS-Repository ankommt - siehe derzeitige Update-Praxis bei CentOS-6. Man könnte deswegen zum Original wechseln...

Oder einen anderen DNS vorschalten. Wir arbeiten hier an den Netzwerkgrenzen durchweg mit OpenBSD als Firewall/Router. Da laufen dann auch die name-server, die nicht unbedingt ebenfalls bind heißen müssen. Damit muss ein Angriff durch zwei verschiedene OS bzw. verschiedene Applikationen hindurch erfolgreich sein. Das ist für script-kiddies toolkit nicht mehr praktikabel und gezielte Angriffe gegen ein Netzwerk mit großem Budget finden eh von innen her statt.

Und ansonsten eben die bereits erwähnte Schadensbegrenzung treiben und daemon-Rechte einschränken.

Gruß, Tobias.