13 usuarios 880 invitados | 99258 registrados
Pues a mi me pasa una cosa la mar de curiosa: Tengo un servidor DHCP para toda la red, al que le damos las DNSs de Opendns. Hasta ahi, bien, no?
Asi que los clientes obtienen su IP, y las DNS de ODNS. Sin fallo.
Sin embargo, a la hora de hacer el test, me dice que mis DNS son vulnerables, y es mas... Me marca como DNS una IP completamente diferente de la que yo solia usar, y ni que decir tiene que tampoco son las de ODNS...
Conclusiones?
Un saludo
Linux user #446091: Cuanto mas conozco a los humanos mas me gusta tratar con ordenadores.
Prueba configurando tu propio dnsserver en la red y que tire del upstream de OpenDNS.
Series: NCIS, House, Dexter, The Mentalist
Usuario: MacBook + OSX, Debian 4.0 en servidores, PHP hardcoder
Adicto: Coca Cola, Café de máquina
No tengo nada mejor que hacer ahora mismo... xDDDD
Pero gracias por el aporte.
Parece que ya esta: El problema era el servidor DHCP, que ademas es cache, y claro... JUAS!
Limpiando la cache y probando ESTE LINK (que es el mimso al que te lleva Doxpara.com, pero ellos lo hacen mas bonito) pues ya confirma que todo esta ok...
Un saludo
Linux user #446091: Cuanto mas conozco a los humanos mas me gusta tratar con ordenadores.
pues yo me hago con esto la picha un lio. cambio los DNS y pongo unos de telefonica que en la lista pone que son seguros. hago la prueba con lo de check dns de doxpara.com y me sale otra ip que no es la que yo tengo puesta en los dns . yo tengo puesto el 80.58.0.33 y al hacer el checkeo me sale 80.58.0.98 y lo de que parece vulnerable y eso. haber que alguien me lo explique.
chusema1970 el 7/25/08 5:47 PMHola.
para el admi:
En el analizador de DNS habeis puesto servidores que poneis que no están afectados cuando a mi si me dan como afectados. Pongo lo que he realizado:
pedro_y_vir@linux:~> dig +short @80.58.0.33 porttest.dns-oarc.net txt
;; connection timed out; no servers could be reached
pedro_y_vir@linux:~> dig +short @212.145.4.98 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"212.145.4.98 is POOR: 30 queries in 25027.0 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @62.36.225.150 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"85.62.240.23 is POOR: 26 queries in 4.5 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @87.216.1.65 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"87.216.1.65 is POOR: 31 queries in 4.4 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @ 62.37.228.20 porttest.dns-oarc.net txt
dig: couldn't get address for '': not found
pedro_y_vir@linux:~> dig +short @62.37.228.20 porttest.dns-oarc.net txt
pedro_y_vir@linux:~> dig +short @62.151.2.65 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"62.151.2.8 is POOR: 65 queries in 123.6 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @80.58.0.97 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.58.0.102 is POOR: 32 queries in 4.6 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @212.4.96.21 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.58.34.38 is POOR: 35 queries in 4.4 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @62.37.236.200 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"62.37.236.200 is POOR: 27 queries in 6.5 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @212.4.96.21 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.58.34.38 is POOR: 33 queries in 4.4 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @212.4.96.22 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.58.34.38 is POOR: 33 queries in 4.4 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @87.216.1.65 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"87.216.1.65 is POOR: 30 queries in 4.4 seconds from 1 ports with std dev 0.00"
pedro_y_vir@linux:~> dig +short @195.235.113.3 porttest.dns-oarc.net txt
;; connection timed out; no servers could be reached
pedro_y_vir@linux:~> dig +short @212.55.8.132 porttest.dns-oarc.net txt
Como ejemplo este esta bien:
pedro_y_vir@linux:~> dig +short @208.67.222.222 porttest.dns-oarc.net txt
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.10 is GOOD: 26 queries in 4.2 seconds from 26 ports with std dev 16888.35"
Un saludo.
pmg el 7/24/08 7:25 PMCuales utilizaís?? Pq en el listado dns me aparecen como vulnerables.
Mi otra conexión: ADSL Telefónica 3 Mb.
Probablemente lo mejor que podemos hacer es añadir a BandaAncha o alguna web similar una lista de los ISP españoles que no son vulnerables. Debemos hacer publico que a través de estos operadores se tiene un nivel de seguridad correcto y que a través de los otros se puede sufrir un ataque sin posibilidad de protección por nuestra parte.
Con este modelo, corregir el DNS se convertirá en una ventaja competitiva comercialmente visible y los ISP se molestarán en arreglarlo.
Porque como les dejemos a su libre decision, ...
Ah, los servidores DNS de ONO bajo las direcciones 62.42.230.24 y 62.42.63.52 son vuilnerables a las 22:00 del 22 de Julio de 2008. Ono deberia ir a la lista negra de los que no podemos usar banca por internet gracias a su desidia.
Josh el 7/23/08 2:23 PMEn el enlace "DNS checker" te vas a una pagina que tiene un boton "Check My DNS". Al pulsarlo justo debajo se carga otra pagina que te dice "Your nameserver at xx.xx.xx.xx appears to be vulnerable" (tu servidor de nombres en la direccion xx.xx.xx.xx parece ser vulnerable).
Cambiando tu DNS en la configuraicond e tu PC puedes comprobar el DNS que quieras.
joseangel el 7/23/08 11:52 AMSería interesante que algún experto en la materia analizase las repercusiones legales que puede tener un caso de fraude por internet utilizando esta vulnerabilidad, ya que esto es posible por clara desdia de los operadores, que conocen el problema pero no hacen nada por solucionarlo.
Yo consulté por correo con Telefónica, pero me dijeron que llamase al 902. Seguí insistiendo y al final recibí un mail en el que me decían que mi consulta había sido enviada al departamento correspondiente, pero no he recibido respuesta alguna.
Yo por mi parte conservo esos correos, y si sufro un fraude utilizando la banca oline, por ejemplo, y es debido a esta vulnerabilidad, estudiaría emprender aciones legales contra Telefónica.
Y teóricamente, estarías en lo cierto. Pero serías David contra Goliath. Te enfrentarías a miles de recursos y apelaciones que prolongarían el proceso durante años, y un largo etcétera que todos conocemos y no hace falta redactar.
Pues si, pero tarde o temprano, los recursos se acaban, y entonces...
Ademas, mas que la accion judicial, lo que ams daño le haria a un ISP es esas circunstancias seria la publicidad negativa que se generaria...
Un saludo
Linux user #446091: Cuanto mas conozco a los humanos mas me gusta tratar con ordenadores.
Bodescu el 7/23/08 7:20 AMY luego uno se encuentra con el conocido q no navega por miedo a virus pero se ve obligado por el email ,o la publicidad 'internetiza' a tu progimo
NO SE YO PQ SERA ESE ESCEPTICISMO ,vamos q si los isp achacaran perdidas por esta gente , básicamente se lo han ganado a pulso
No me extrañaria recibir una llamada del isp de aumento de precio por dns seguro ,osea sin vulnerabilidad , o paga barato y bajo tu responsabilidad
Kang el 7/22/08 10:47 PMNi que le hiciera falta Internet a la mafia y cia para enterarse de segun que cosas...
Eso no es preocupante: Lo preocupante es que con esta vulnerabilidad al descubierto, cualquiera (bueno, cualquiera no, pero ya entendeis...) puede diseñar un macroataque a la banca electronica y dejarnos sin un can.
Pues es lo que faltaba...
Y lo saben. LO SABEN!!. Y o no hacen nada, o no saben que hacer.
Y no se cual de las dos alternativas es peor...
Un saludo
Linux user #446091: Cuanto mas conozco a los humanos mas me gusta tratar con ordenadores.
Bodescu el 7/22/08 10:04 PMInformación independiente sobre el servicio, tarifas y costes ocultos de todos los operadores:
Feed RSS de bandaancha.eu
Añadir a iGoogle o Google Reader
Twitter de Banda Ancha
Filtrados los detalles del fallo DNS mientras los proveedores españoles siguen siendo vulnerables
Todos los detalles sobre la mega vulnerabilidad del protocolo DNS anunciada recientemente se han hecho públicos. Su descubridor tenía previsto dar algunos detalles a partir del 6 de agosto, pero se le han adelantado.
Esto ocurre mientas los grandes proveedores de internet españoles siguen atendiendo las peticiones DNS de los usuarios que navegan por su red con software vulnerable. Kriptopolis ha publicado algunos resultados utilizando la herramienta puesta a disposición por uno de los descubridores del fallo.
Como dice Jixo en elotrolado.net, no es extraño que veamos intentos de ataques DNS en las próximas semanas en los que se hago uso de esta vulnerabilidad ante la pasividad de los operadores.
Si quieres saber si un servidor DNS es vulnerable (aquí tienes un listado de DNS) solo tienes que configurar tus DNS y utilizar el DNS Checker de doxpara.com.