gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Wildcard DNS matching em .co.pt
Contribuído por chbm em 23:12 16 March 2000
do departamento next next next finish
dns pampem diz "Achei curioso verificar que o .co.pt utilizava a técnica de wildcard dns matching sob a forma para permitir que por exemplo o-gildot-e-o-maior-viva-operl-carago.co.pt apontasse para 194.65.155.200. É uma técnica conhecida de dns que é utilizada por outros sites, mas o que me alarma é o facto de .co ser também um TLD, o que me fez lembrar umas leituras antigas de RFC's, nomeadamente o rfc 1912 e o rfc 1535.
Citando o primeiro (rfc 1912), [...]"
[citações no desenvolvimento]
 Wildcard As and CNAMEs are possible too, and are really confusing to users, and a potential nightmare if used without thinking first. It could result (due again to domain searching) in any telnet/ftp attempts from within the domain to unknown hosts to be directed to one address. One such wildcard CNAME (in *.edu.com) caused Internet-wide loss of services and potential security nightmares due to unexpected interactions with domain searching. It resulted in swift fixes, and even an RFC ([RFC 1535]) documenting the problem. 

<  | teste  >

 

gildot Login
Login:

Password:

Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
Eu escolho... (Pontos:0)
por em 2:38 17 March 2000 GMT (#22)
(Utilizador Info)
http://faz-me-um-bi.co.pt/

E funciona!

Re: Eu escolho... (Pontos:0)
por em 10:38 17 March 2000 GMT (#40)
(Utilizador Info)
Mostra uma página, não efectua de facto a operação pedida... :-o
Re: Eu escolho... (Pontos:0)
por em 13:14 17 March 2000 GMT (#104)
(Utilizador Info)
Dizes tu ;-p
os secundários ?!?!?!? (Pontos:0)
por em 10:40 17 March 2000 GMT (#52)
(Utilizador Info)
...e eles ainda não tiveram tempo de arranjar os secundários...
e já passou tantooooooooo tempo !!!
E isso funciona a 100% (Pontos:0)
por em 11:18 17 March 2000 GMT (#64)
(Utilizador Info)
E isso de '*' apontarem todos para o mesmo IP funciona mesmo??? isto é, não poderá haver um ou outro server DNS que não reconheça isso, tipo uma versão mais antiga do BIND? Bom, mas se pensar bem, deve funcionar em 100% dos casos.

Vejamos, Faço uma query a xpto.telepac.pt que não existe e nunca esteve em cache DNS que está a fazer o pedido, o server DNS da telepac se tiver lá o '*' mágico vai retornar o IP, voilá, é simples, deve funcionar, mesmo que o server de DNS que faça o pedido não suporte, visto ser o de destino que interpreta... sei lá...
Ate' onde isto pode causar danos... (Pontos:0)
por em 12:35 17 March 2000 GMT (#78)
(Utilizador Info)
Barely...

o que se passou em 93 foi um caso muito especifico, numa altura em que a Internet era simples... :-) Anyway... o principal problema estava a nivel dos resolvers, que faziam sempre append dos default domains se nao terminasses um host com um . (hoje em dia o comportamento mantem-se essencialmente o mesmo, mas nao sao aceites TLD)

Ora... Primeiro ponto... Duvido que haja muita gente que tenha um resolver tao antigo...

Segundo ponto... Deve haver ainda menos gente que tenha o resolver configurado para fazer search a "pt"

E' um facto que a Caleida se esta' a sujeitar a apanhar com trafego destinado `a Colombia... mas a probabilidade e' muito baixa...

Mas... se ela existe, e' capaz de ser uma boa ideia acabar com este wildcard... pode ser muito chato... :)
Re: Ate' onde isto pode causar danos... (Pontos:0)
por em 13:05 17 March 2000 GMT (#102)
(Utilizador Info)
Ora... Primeiro ponto... Duvido que haja muita gente que tenha um resolver tao antigo...

Segundo ponto... Deve haver ainda menos gente que tenha o resolver configurado para fazer search a "pt"

De qualquer forma, e para precaver problemas com os 0.00001% que pudessem ser afectados, se bem me lembro a FCCN tinha obtido o compromisso da U. Aveiro (ua.pt) e do Inst. Telecomunicacoes (it.pt) que nao iam usar wildcards directamente abaixo dos seus dominios (isto por alturas do caso gov.pt). Terao deixado de exigir isto?

E' um facto que a Caleida se esta' a sujeitar a apanhar com trafego destinado `a Colombia...

E à Arábia Saudita! Acontece o mesmo com sa.pt (e com lda.pt e online.pt, mas estes nao incluem TLDs).

.artur


Re: Ate' onde isto pode causar danos... (Pontos:0)
por em 1:24 18 March 2000 GMT (#152)
(Utilizador Info)
Quando saio de manha de casa ate' me pode cair
um meteoro na cabeca !! E' que tomar isto como
um problema nos dias hoje comeca a ser ridiculo.
Mostrem-me alguem que tenha o seu resolver configurado para fazer um busca directamente sobre o dominio pt e que use as tais versoes antiquissimas (que ainda por cima se bem me lembro eram da microsoft) aqui em Portugal e que nos possam enviar trafego destinado `a Columbia e Arabia Saudita.
Meus amigos, estao a ser mais papistas que o papa com esta questao. O "*" e' muitissimo util e contribui de uma maneira muito efectiva na poupanca de um recurso cada vez mais ecasso. Numeros IP.


Re: Ate' onde isto pode causar danos... (Pontos:0)
por em 15:51 18 March 2000 GMT (#168)
(Utilizador Info)
O "*" e' muitissimo util e contribui de uma maneira muito efectiva na poupanca de um recurso cada vez mais ecasso. Numeros IP. Como e' que e'??

Ate concordo com tudo o que esta' para tras, mas o "*" agora poupa IP's e'??? hum... ha-de me dizer como... se falasse que virtual web poupa ip's... isso sim, agora nao estou a ver como e' que um "dns globbing" pode ter esse efeito. Poupa e' outras coisas... como ter que fazer 500 mil CNAME's, IYKWIM. Anonimal
Re: Ate' onde isto pode causar danos... (Pontos:0)
por em 16:17 18 March 2000 GMT (#184)
(Utilizador Info)
E' que tomar isto como um problema nos dias hoje comeca a ser ridiculo.

Vamos por partes...

Mostrem-me alguem que tenha o seu resolver configurado para fazer um busca directamente sobre o dominio pt e que use as tais versoes antiquissimas (que ainda por cima se bem me lembro eram da microsoft) aqui em Portugal e que nos possam enviar trafego destinado `a Columbia e Arabia Saudita.

Nao sei como e' o resolver da Microsoft, mas os resolvers do BIND ate' `a versao 4.9.2 (salvo erro) sofrem deste problema. Ja' ninguem os usa? Nao teem 'pt' no search? Nao e' bem assim: em Setembro do ano passado vi um resolver do BIND 4.8.3 cuja search list era "y.x.pt, x.pt, pt" ('y' e 'x' omitidos, por razoes obvias). O respectivo administrador nao me soube dar uma razao forte para la' ter 'pt', mas tinha-o. Hoje ja' nao tem, mas continua com o 4.8.3. "Legacy" e' o que ha' mais por ai', e nem todos sabem, querem, ou podem mudar...

Sobre se estas coisas sao um problema ou nao, o Ricardo ja' disse que nem por isso, e eu ate' concordo. Mas na verdade ninguem sabe se e' ou nao um problema, e se sim, qual a sua dimensao. (Tal como ninguem o sabia ha' tres anos atras, mas isso e' outra historia...)

Hoje em dia temos dois tipos de "intervenientes," os "As" e os "Bs" (para nao ofender niguem :-). Os "As" teem resolvers antigos e 'pt' na search list. Os "Bs" teem wildcards em A records, pertencentes a zonas do tipo TLD.pt. A questao e': qual devemos "desprezar"?

Por varias razoes, penso que devem ser os "As" a mudar. "Estar" na Internet implica a responsabilidade de "saber estar." Mas nao e' por isso que os problemas devem deixar de ser discutidos ou divulgados, e foi isso que se fez neste thread. Portanto, nao concordo que seja ridiculo considerar isto um problema nos dias de hoje (e ninguem disse que a Caleida devia tirar os wildcards).

Por outro lado, isto nao impede que os "Bs" tenham a responsabilidade de saber o que estao a fazer e quais as possiveis consequencias. Ainda que a Caleida tenha gente com o know-how suficiente para saber isto, vimos neste thread que nem toda a gente tem! Quantos leram (e entenderam) o RFC 1535?

O "*" e' muitissimo util e contribui de uma maneira muito efectiva na poupanca de um recurso cada vez mais ecasso. Numeros IP.

Nao seriam mais "elegantes" os virtual domains? Bom, ok, com isso os pedidos para http://www.nao-existe-ou-entao-enganei-me.co.pt nao iriam parar a http://reg.co.pt... Malvados resolvers! :-)

.artur


Re: Ate' onde isto pode causar danos... (Pontos:0)
por em 0:29 20 March 2000 GMT (#186)
(Utilizador Info)
Nao seriam mais "elegantes" os virtual domains? Bom, ok, com isso os pedidos para http://www.nao-existe-ou-entao-enganei-me.co.pt nao iriam parar a http://reg.co.pt... Malvados resolvers! :-) Ate' que enfim alguem inteligente percebeu a razao principal para neste caso se usarem wildcards ;-). Assim a tentacao para se registar o http://eu-ate-queria-este-dominio-mas-estou-com-duvidas.online.pt e muito maior B-).
Re: Ate' onde isto pode causar danos... (Pontos:0)
por em 1:49 20 March 2000 GMT (#206)
(Utilizador Info)
É pena que quando alguém da caleida finalmente intervém nesta discussão seja para fazer um comentário meramente comercial.

?!?!?!?!? (off this topic!!!) (Pontos:0)
por em 13:25 20 March 2000 GMT (#218)
(Utilizador Info)
...então meu caro MEC, onde estão esses secundários ?!?!?!?
E eu? (Pontos:0)
por em 15:30 17 March 2000 GMT (#112)
(Utilizador Info)
Hmm, isto tudo é muito interessante.

Eu tenho registado o dominio 'pt.vu' (Vanuatu).

E por acaso estou a usar wildcards no meu DNS dada a natureza do serviço que prestamos. Será que estou eu sujeito a receber dados da rede pt? ou será a rede pt que está sujeita a receber dados de nós?
Re: E eu? (Pontos:0)
por em 15:43 17 March 2000 GMT (#124)
(Utilizador Info)
E por acaso estou a usar wildcards no meu DNS dada a natureza do serviço que prestamos. Será que estou eu sujeito a receber dados da rede pt?

Da "rede pt"... humm... ok! :-) Está sujeito a receber tráfego destinado a x.pt, enviado por alguém (provavelmente um vanuatuano :) que tenha um resolver muito antigo e que tenha "vu" no search desse resolver.

Dadas as probabilidades, pode dormir descansado :-).

.artur


Re: E eu? (Pontos:0)
por em 16:57 17 March 2000 GMT (#132)
(Utilizador Info)
ehehe, pois, parece que não formulei bem a pergunta, como é que poderia receber tráfego da rede .pt, lol... acontece...
Re: E eu? (Pontos:0)
por em 13:29 20 March 2000 GMT (#240)
(Utilizador Info)
parece-me que ainda há gente que ainda não percebeu que usar a expressão rede .pt é uma «barbaridade» !!!
correcçao: link errado (Pontos:0)
por em 21:04 17 March 2000 GMT (#148)
(Utilizador Info)
rfc1535 eh encontrado aki..
http://www.cis.ohio-state.edu/rfc/rfc1535.txt

e nao em..
http://www.cis.ohio-state.edu/rfc/rfc1912.txt

have phun

 

 

[ Topo | FAQ | Editores | Contacto ]