Chaining CNAMEs en GRC

Mijnheer Gibson heeft weer wat leuks en ook iets ook heel onverstandigs online staan. Een changing CNAME met veel schakels, heel veel schakels, heel heel heel veel schakels. En er blijken voldoende thuisrouters niet tegen te kunnen zoals ook bij Security.nl naar voren kwam. Ook komt hier gelijk wat anders naars naar voren.

Maar eerst over het probleem zelf en ja het is een probleem. Het is misschien ook wel iets waar Bert Hubert van PowerDNS naar hinten tijdens Hacking at Random. Er zitten nog veel fouten in de resolvers die moeten worden opgelost en dit bleek ook tijdens een test in Zweden met DNSSEC waarbij veel thuisrouters omvielen terwijl ze hoorden te blijven werken. Het onderstaande dus met zorg gebruiken.

$ dig vu4juskpieril.dns.grc.com.

< <>> DiG 9.6.1-P2 < <>> vu4juskpieril.dns.grc.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER< <- opcode: QUERY, status: SERVFAIL, id: 14245
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;vu4juskpieril.dns.grc.com. IN A

;; ANSWER SECTION:
vu4juskpieril.dns.grc.com. 59 IN CNAME 1gmwga5hrrwca.dns.grc.com.
1gmwga5hrrwca.dns.grc.com. 59 IN CNAME wyxhcj5oe4pnj.dns.grc.com.
wyxhcj5oe4pnj.dns.grc.com. 59 IN CNAME 4t3bqsavrixij.dns.grc.com.
4t3bqsavrixij.dns.grc.com. 59 IN CNAME dhykkk0tjnzwd.dns.grc.com.
dhykkk0tjnzwd.dns.grc.com. 59 IN CNAME w2zci5lhiezqe.dns.grc.com.
w2zci5lhiezqe.dns.grc.com. 59 IN CNAME aupbutbnfy1jn.dns.grc.com.
aupbutbnfy1jn.dns.grc.com. 59 IN CNAME tfriugiykoa5f.dns.grc.com.
tfriugiykoa5f.dns.grc.com. 59 IN CNAME bjdvr3qbhor5e.dns.grc.com.
bjdvr3qbhor5e.dns.grc.com. 59 IN CNAME m0iyvioma2ywe.dns.grc.com.

;; Query time: 2597 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: Sun Dec 20 11:27:02 2009
;; MSG SIZE rcvd: 295

Er wordt een vraag uitgezet bij resolver en deze moet bijna oneindig bezig blijven om met een antwoord te komen. Of de resolver blijft “eeuwig” bezig, of stopt met werken door een gebrek aan geheugen bv, of omdat het niet op te lossen en geeft een timeout, of geeft alleen het eerst antwoord. Voorlopig lijken BIND en PowerDNS goed te werken en ook de firmware voor routers van AVM aka Fritz!Box.

Als je mensen wilt pesten dan is de bekende 1×1 pixel image in je e-mail, webpagina, etc wel een aardige optie. Zeker omdat dan ineens veel software alles moet gaan werken zoals virusscanner, spamfilters, contentfilters, etc, etc. Hier ligt ook een groot probleem en waarom ik geen voorstander ben van dit soort toepassingen. Het maakt het probleem eigenlijk veel groter dan het eigenlijk is, want vaak zijn die applicaties even slecht geschreven of maken gebruik van dezelfde bibliotheken als normale applicaties.