Re: IP reversing
Mario victor-oscar a écrit : Salut la liste, En lisant votre poste, je me suis posé la question concernant les interrogations sur les recherche inversées ARPA, pourquoi ne pourrait ils pas réaliser une recherche des PTRs pour une IP. parce que tous les domaines n'y sont pas. prenons un premier exemple: n'importe qui peut avoir un compte gratuit chez free, avec un site toto.free.fr. Imaginons que free mette alors tous ces noms dans les PTRs de ses serveurs web. prenons un autre: j'achète un domaine et je veux l'utiliser pour un serveur web, disons www.joe.example. je ne vois aucune raison de m'emmerder à aller embêter les gestionnaires du reverse pour y mettre ce nom? et si j'ajoute une IP, faut que je recommence? et si j'en enlève une, encore, ... etc. et tout ça pourquoi? En parallele, j'aimerais bien avoir des éclaircissements concernant la manière dont ces PTRs sont créés une fois la demande d'enregistrement du nom de domaine réalisée. qui le réalise, est-ce automatique, défini dans un protocole ? En général, c'est l'ISP, l'hebergeur, ... qui le fait pour les blocs qu'il gère. Parfois, on peut avoir une délégation pour gérer son reverse. chez certains (free.fr, ovh, ...), on peut choisir son reverse via une interface d'admin, chez d'autres, on peut le demander. (en général, il faut d'abord que le forward soit configuré et propagé). Si on a plusieurs noms de domaines pour une IP, pourquoi le PTR n'aurait pas plusieurs réponses ? même si une seule serait exploitée. Si c'est le cas, rien n'empecherait d'utilisé un client qui récupérait alternativement ou en une fois les PTRs associés à l'adresse IP. qu'en pensez vous ? ça ne sert à rien de mettre plusieurs PTRs. Le PTR identifie l'IP, et non l'organisation ou le service (qui eux sont identifiés par des noms). Il ne faut pas confondre avec les pratiques suivantes: - mettre une même IP comme A de plusieurs noms différents, qui sert pour le multi-homing. - mettre plusieurs IPs comme A pour un seul nom, qui sert pour la redondance. pour les IPs, aucun client ne vas résoudre le PTR pour se connecter à un nom, car si on a l'IP, on s'y connecte! le PTR est généralement utilisé lorsque la machine agit en client et se connecte à un serveur qui veut vérifier son nom. Mais dans ce cas, voici ce qui peut se passer: Dans certains protocoles, principalement pour SMTP, quand un serveur reçoit une connexion, il fait l'opération suivante: 1- résoudre l'IP.ça donne un PTR. en général, on garde le premier PTR retourné. 2- on résoud ce PTR, et ça donne plusieurs IPs 3- on compare ces IPs à l'IP originale. Il faut qu'une de ces IPs soit égale à l'IP originale. Si oui, on utilise ce PTR comme hostname et on dir qu'il est confirmé (on entend parfois FcrDNS, forward confirmed reverse dns, mais c'est un très gros mot, n'est-ce pas?). Sinon, on ne fait pas confiance au nom (postfix dira que c'est unknown). La raison de cette double résolution est qu'une entité qui gère le reverse pourrait décider de dire que ses IPs sont joe.microsoft.com, titi.google.com, ... etc. en faisant une double résolution, on évite un peu ce problème (en admettant qu'on peut faire confiance au DNS, mais c'est un autre sujet). Imaginons donc ce qui se passerait si à l'étape 1 je garde tous les PTRs. j'ai une IP qui donne: joe.domain1.example, ji.domain2.example, ... tata.domain23.example. à l'étape 2, je vais donc me taper 23 requêtes? du coup, la solution retenue est de ne garder que le premier résultat. Mais dans le cas d'un Round Robin, le premier est aléatoire. du coup, pour que le nom soit vérifié à coup sûr, il faut qu'il le soit pour tous les PTRs, ce qui fait 23 occasions de se planter au lieu d'une! Et tout ça pourquoi? rien. Ue principe général: plus il y a des données, plus il y a des chances de faire des erreurs, et plus c'est dur de maintenir la cohérence. Mais tout ça, c'est pour IPv4. si on voulait faire ça pour IPv6, on va rigoler encore plus (et seulement le weekend. en semaine, on risque de pleurer ;-p). du coup, plusieurs voix se sont élevés contre le reverse... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
Salut la liste, En lisant votre poste, je me suis posé la question concernant les interrogations sur les recherche inversées ARPA, pourquoi ne pourrait ils pas réaliser une recherche des PTRs pour une IP. En parallele, j'aimerais bien avoir des éclaircissements concernant la manière dont ces PTRs sont créés une fois la demande d'enregistrement du nom de domaine réalisée. qui le réalise, est-ce automatique, défini dans un protocole ? Si on a plusieurs noms de domaines pour une IP, pourquoi le PTR n'aurait pas plusieurs réponses ? même si une seule serait exploitée. Si c'est le cas, rien n'empecherait d'utilisé un client qui récupérait alternativement ou en une fois les PTRs associés à l'adresse IP. qu'en pensez vous ? Le 26 décembre 2008 21:31, François Boisson user.anti-s...@maison.homelinux.net a écrit : Le Fri, 26 Dec 2008 19:01:27 +0100 cont...@sels-ingenierie.com a écrit: merci Jean-Michel pour ta recherche mais qu'entends-tu par si le nom n'est pas diffusé il n'est pas dans la base. En fait je pensais à noms complets, par exemple, pour le domaine agreg.org, il y a plusieurs nom toto.agreg.org, etc mais seul agreg.org apparait dans la base, donc seul le nom du domaine est présent. Je pense qu'effectivement il regarde les stats sur les noms de domaines pour faire leur base mais ne regarde pas chaque site... Rien n'empêche que toto.agreg.org soit sur une autre IP que agreg.org, cette IP là n'est pas trouvée. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
Mario victor-oscar a écrit : En lisant votre poste, je me suis posé la question concernant les interrogations sur les recherche inversées ARPA, pourquoi ne pourrait ils pas réaliser une recherche des PTRs pour une IP. Je ne comprends pas la question. Un reverse DNS IPv4 est un enregistrement PTR sous in-addr.arpa (et ip6.arpa pour un reverse IPv6). En parallele, j'aimerais bien avoir des éclaircissements concernant la manière dont ces PTRs sont créés une fois la demande d'enregistrement du nom de domaine réalisée. qui le réalise, est-ce automatique, défini dans un protocole ? Il n'y a rien d'automatique défini dans un protocole pour une bonne raison : les zones directes et inverses sont gérées par des entités a priori distinctes. Une zone directe est gérée par le détenteur du nom de domaine, alors qu'une zone inverse est gérée par le détenteur du bloc d'adresses correspondant. Si on a plusieurs noms de domaines pour une IP, pourquoi le PTR n'aurait pas plusieurs réponses ? même si une seule serait exploitée. C'est possible, mais si une adresse est associée à un grand nombre de noms de domaines (ex: serveur mutualisé), l'enregistrement PTR inverse correspondant serait très long s'il devait contenir tous les noms. Le protocole DNS limite la longueur des datagrames UDP à 512 octets (plus en EDNS), au-delà il faut passer en TCP ce qui est beacoup plus lourd, avec la séquence suivante : requête en UDP réponse trop long pour UDP connexion TCP requête TCP réponse TCP déconnexion TCP D'autre part une adresse n'est censée avoir qu'un seul enregistrement inverse qui correspond à son nom canonique. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
Le Fri, 26 Dec 2008 19:01:27 +0100 cont...@sels-ingenierie.com a écrit: merci Jean-Michel pour ta recherche mais qu'entends-tu par si le nom n'est pas diffusé il n'est pas dans la base. En fait je pensais à noms complets, par exemple, pour le domaine agreg.org, il y a plusieurs nom toto.agreg.org, etc mais seul agreg.org apparait dans la base, donc seul le nom du domaine est présent. Je pense qu'effectivement il regarde les stats sur les noms de domaines pour faire leur base mais ne regarde pas chaque site... Rien n'empêche que toto.agreg.org soit sur une autre IP que agreg.org, cette IP là n'est pas trouvée. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
Le Tue, 23 Dec 2008 10:08:40 +0100 Jean-Michel Schelcher jm...@schelcher.net a écrit: Je ne sais pas du tout comment ils font, mais la solution la plus simple serait amha celle du moteur de recherche. En gros ils connaissent tous les sites du web, résolvent leurs IP et la stockent dans une base, puis lors d'une demande reverse-ip ressortent la liste des sites. J'ai regardé, seul les domaines non associés à un adresse dynamique (malgré l'IP) genre homeip.net et les noms diffusés sont accessibles. Un site pointant vers la même IP mais dont le nom n'est pas diffusé n'est pas dans la base... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
IP reversing
Bonjour la liste, Je profite des post de sécurité que je vois passé ces derniers temps pour évoquer l'utilisation de L'IP reversing pour connaître l'ensemble des domaines hébergés sur un serveur web. Cela peut poser des soucis car il fournit des informations sur les autres hébergements. (Toute divulgation d'information non maîtrisé constitue potentiellement une source d'info pour les attaques...recherche d'hebergement utilisant le même CM par exemple) J'aimerais sécuriser cela mais je n'arrive pas à comprendre comment à partir d'une simple IP il arrive à questionner le serveur DNS pour obtenir tous les domaines pointant sur ce même serveur. A moins que cela soit un exploit côté Apache. J'ai installé Apache 2 et Named packagé Debian Etch, j'ai lu les correctifs apportés par les mainteneurs de paquet. Leur travail est remarquable et je les remercies mais je reste sans réponse. Je ne pense pas que cela vienne de la configuration de Named car je n'ai aucune trace des logs de tranferts ou query pour les domaines en question. Si d'autres personnes sont dans le même cas que moi ou que vous avez des pistes, ça eclairera ma lanterne. merci PS: exemple de site effectuant de l'IP reversing http://www.domaintools.com/reverse-ip/ -- Jean Christophe PAROLA -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
Bonjour, On 23/12 09:52, SELS INGENIERIE wrote : J'aimerais sécuriser cela mais je n'arrive pas à comprendre comment à partir d'une simple IP il arrive à questionner le serveur DNS pour obtenir tous les domaines pointant sur ce même serveur. Je ne sais pas du tout comment ils font, mais la solution la plus simple serait amha celle du moteur de recherche. En gros ils connaissent tous les sites du web, résolvent leurs IP et la stockent dans une base, puis lors d'une demande reverse-ip ressortent la liste des sites. Je ne pense pas que ce soit un problème coté apache ou bind, étant donné que domaintools fait payer se service, il doit y avoir un *vrai* travail derrière (indexation) plus complexe qu'une simple requête DNS. Vos avis ? a+ Jean-Michel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
On Tue, Dec 23, 2008 at 10:08:40AM +0100, Jean-Michel Schelcher jm...@schelcher.net wrote a message of 35 lines which said: Je ne sais pas du tout comment ils font, mais la solution la plus simple serait amha celle du moteur de recherche. En gros ils connaissent tous les sites du web, résolvent leurs IP et la stockent dans une base, puis lors d'une demande reverse-ip ressortent la liste des sites. Je pense que c'est en effet la bonne explication. Je ne vois d'ailleurs pas d'autre possibilité. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: IP reversing
Stephane Bortzmeyer a écrit : On Tue, Dec 23, 2008 at 10:08:40AM +0100, Jean-Michel Schelcher jm...@schelcher.net wrote a message of 35 lines which said: Je ne sais pas du tout comment ils font, mais la solution la plus simple serait amha celle du moteur de recherche. En gros ils connaissent tous les sites du web, résolvent leurs IP et la stockent dans une base, puis lors d'une demande reverse-ip ressortent la liste des sites. Je pense que c'est en effet la bonne explication. Je ne vois d'ailleurs pas d'autre possibilité. ils prennent les stats des registrars, ce qui leur fait une liste de domaines (on peut le deviner en testant avec un domaine qui n'est jamais utilisé, et donc pas référencé). et effectivement, ils doivent faire la résolution directe pour trouver les IPs et construire ainsi une base de données. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org