ISP ที่ผมใช้บริการอยู่ ยังไม่ได้อุดช่องโหว่ DNS Cache Poisoning เลยอะ


ลองทดสอบดูได้ที่ DOXPARA Research

Your name server, at 58.97.6.99, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 39523

Due to events outside our control, details of the vulnerability have been leaked. Please consider using a safe DNS server, such as OpenDNS. Note: Comcast users should not worry.

---

Requests seen for da4a06ad4849.toorrr.com:
58.97.6.99:39523 TXID=16404
58.97.6.99:39523 TXID=58625
58.97.6.99:39523 TXID=20914
58.97.6.99:39523 TXID=40029
58.97.6.99:39523 TXID=43969


C:\>nslookup 58.97.2.21

Server: dns2.asianet.co.th
Address: 203.144.207.49

Name: nstrue02.trueinternet.co.th
Address: 58.97.6.99


และ/หรือที่ DNS-OARC

DNS Resolver(s) Tested:

1. 58.97.2.21 (nsmtg04.trueinternet.co.th) appears to have POOR source port randomness and GREAT transaction ID randomness.
2. 58.97.6.100 (nstrue03.trueinternet.co.th) appears to have POOR source port randomness and GREAT transaction ID randomness.
3. 58.97.2.20 (nsmtg03.trueinternet.co.th) appears to have POOR source port randomness and GREAT transaction ID randomness.
4. 58.97.6.102 (nstrue05.trueinternet.co.th) appears to have POOR source port randomness and GREAT transaction ID randomness.

ลองทำตามข้อ 5 จากบล็อก DNSenum - Domain Information Gathering Tool ดูเล่นๆ ได้ผลการค้นหาเท่ากันพอดีเป๊ะ กับจำนวนบล็อกที่โพสต์ไว้ใน Blogger เลย (ไม่ร่วมอันนี้)

Get extra names and subdomains via google scraping (google query = “allinurl: -www site:domain”).

โดยส่วนตัว ผมคิดว่า Transit Network Provider ไม่ควรจะ block การใช้งานใดๆ ของ user เลย แม้จะเป็น user ในกลุ่ม Dynamic IP Address -- ยกเว้นแต่จะ identify ได้ว่าเป็น traffic ของการโจมตี/เจาะระบบ เท่านั้น (ซึ่งก็ต้องมีเครื่องมือเฝ้าระวัง ที่ทำงานอยู่ใน layer ที่สูงกว่า network อยู่ดี)

การตัดสินใจจะ block ตั้งแต่ยังไม่เกิดเหตุการณ์ (ป้องกัน) ควรจะเป็นสิทธิ์ขาดอำนาจเต็มของเจ้าของระบบ ที่อยู่ในระดับ Application เช่น การ block port 25 ของ Dynamic IP Address ควรจะกระทำที่ mail server (MTA) มากกว่าจะใส่ access control list (acl) ไว้ที่ router ยกเว้นกรณีที่เป็นการทำชั่วคราว ในขณะเกิดเหตุการณ์โจมตี/เจาะระบบอยู่ -- ย้ำว่าในฐานะของ Provider นะครับ แต่ถ้าเป็น Enterprise ก็เป็นสิทธิ์ที่พึงกระทำได้เต็มที่

ในส่วนของ Provider ก็อาจมีข้อยกเว้น ในกรณีที่กำหนด Service Specification ไว้ชัดเจนตั้งแต่แรก เช่นว่า ลูกค้าที่ใช้บริการในกลุ่มที่ได้ Dynamic IP Address ไม่อนุญาตให้ทำตัวเป็น SMTP Server แต่ถ้าไม่ได้กำหนดไว้ตั้งแต่แรก -- สิ่งที่ทำได้ เพียงแต่ share ข้อมูล Dynamic IP Address Range ของตัวเองออกสู่สาธารณะเท่านั้น

ปล. ในยุคที่การพัฒนาจำเป็นต้องพึ่งพาอินเทอร์เน็ตอย่างทุกวันนี้ นับวัน Spam Mail จะเป็นปัญหาที่ลุกลามใหญ่โตขึ้นเรื่อยๆ และแก้ได้ยาก ถ้าผมเป็น Mail Server Administration ผมจะปฏิเสธ SMTP connection จาก Dynamic IP Address Range ทั้งหมด