Connessioni con nome in tutto il mondo

2

Ho appena iniziato a lavorare per una piccola azienda e ad eseguire il loro server. L'intera cosa è su macOS, e ultimamente sto monitorando la mia rete a causa di alcune cose strane in alcuni file di registro.

Mi sono imbattuto in qualcosa chiamato named che rende connessioni sia UDP che TCP in tutto il mondo. Da quello che ho raccolto, il servizio named ha qualcosa a che fare con il mio DNS, tuttavia, questo non ha molto senso perché non ho nessuno che lavori all'estero o che tenti di connetterti da paesi diversi.

La mia domanda a tutti voi sarebbe, è questo un motivo per me di essere allarmato?

    
posta CertifcateJunky 06.04.2018 - 18:26
fonte

1 risposta

4

named - MacOS

named può essere considerato il servizio bind per Mac, che tutto si riduce a essere un server DNS.

DNS

Un server DNS effettua richieste ad altri server DNS su Internet se ha bisogno di trasformare un nome di dominio in un indirizzo IP e non sa di quel nome di dominio.

Una soluzione è il caching, che memorizza gli indirizzi e i nomi degli host, quindi il tuo server non deve effettuare tutte le richieste sui server corrispondenti.

Connessioni

Ciò significa che per ogni dominio che deve essere risolto, e non è noto alla cache, verrà effettuata una connessione (TCP), o un pacchetto verrà inviato e ricevuto (UDP) da un altro server.

Visitando un singolo sito Web con tutti i framework JS e possibilmente (ma raramente) le immagini ospitate esternamente, possono verificarsi più richieste DNS.

Ci sono molti programmi che devono connettersi a un server per problemi di licenza, feed, ... che hanno anche la risoluzione dei nomi.

È noto che alcuni software utilizzano getHostByName() come test di connessione ai grandi siti, o ai loro server DNS, perché controllano la connessione a Internet e UDP è molto veloce. (Ad esempio: Huawei EMUI (Android) effettua una richiesta DNS per Baidu all'avvio)

Ma non è tutto buono

Prima di andare in panico, considera ciò che ho scritto sopra e verifica le tue configurazioni per vedere che le connessioni sono legittime. È anche possibile utilizzare whois per verificare se le connessioni sono effettivamente verso e da server DNS legittimi.

Se non sono tutti buoni, o continui ad avere traffico elevato al di fuori dell'orario d'ufficio, ecc., considera il fatto che l'errata configurazione dei server DNS e delle regole del firewall può portare ad attacchi flood UDP e simili.

Un'altra cosa totalmente paranoica da considerare dopo tutto ciò che è fallito è che qualcuno ha attivato malware sul tuo sistema che nasconde il servizio named , ma questo è completamente fuori considerazione prima di essere assolutamente certo del firewall e della configurazione.

    
risposta data 06.04.2018 - 19:29
fonte

Leggi altre domande sui tag