Windows Update に遅れること5日で登場。基本的に freebsd-update に移行していて、毎日 freebsd-update cron を実行しているので、sudo freebsd-update install; /etc/rc.d/named restart てな感じで作業完了。実は一部キャッシュサーバとしてbindを使っていた。
porttest.dns-oarc.net — Check your resolver’s source port behavior を使ってみると、以下のように複数のポートから発信されるのが確認できた。POORと判定されるけど。(以前は from 1 ports だった)
% dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "192.0.2.1 is POOR: 26 queries in 3.1 seconds from 7 ports with std dev 1.93"
ついでにいろんな環境での porttest.dns-oarc.net の結果を調べてみた。
djbdns または 手元のWindows Server 上のDNSサービスの場合スコアが出てこない。
% dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
rootbsd.net が提供しているキャッシュサーバは土曜の時点でGOOD判定を出す状態だった。ここの運営体制イイ。(追記)Possible DNS Exploit in the Wild (RootBSD blog) 10日の時点で対処済みだった。
% dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "208.79.80.18 is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 19652.74"
さくらインターネットのレンタルサーバが提供しているキャッシュサーバは更新されてない。外部からのアクセスは拒否してくれているとは思うが、レンタルサーバ内から攻撃されたら負けるだろう。最近 ARP Spoofingくらったという例もあったし…
% dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "210.224.178.108 is POOR: 26 queries in 2.9 seconds from 1 ports with std dev 0.00"
2008年7月31日 01:32 に 智史 が投稿
今日確認したら、さくらインターネット は対策されていた。