Se propaga por la red una preocupación creciente respecto del filtrado de los sitios que “vulneran” los derechos de autor. El gobierno de los Estados Unidos ha realizado recientemente alguna “captura” de dominio con bastante repercusión en España. Nos referimos a rojadirecta.org, portal que recopila enlaces a servidores de “streaming” que retransmiten eventos deportivos de pago.
Una de las alternativas para evitar este tipo de secuestros de dominio es el uso de OpenNIC. Se trata de un proyecto que tiene como objetivo ofrecer una alternativa a los dominios de primer nivel (TLD, Top Level Domain) gestionados por ICANN. Su principal atractivo es que por un lado no depende directa o indirectamente de un organismo gubernamental y que ofrece el registro de dominios de forma gratuita.
OpenNIC (a.k.a. “The OpenNIC Project”) is an organization of hobbyists who run an alternative DNS network. OpenNIC is owned and operated by the OpenNIC community. Membership is open to all who share an interest in keeping DNS free for all users. Our goal is to provide you with quick and reliable DNS services and access to domains not administered by ICANN.
OpenNIC provides resolution to all ICANN domains as well as OpenNIC’s own TLDs:
.geek, .free, .bbs, .parody, .oss, .indy, .fur, .ing, .micro, .dyn and .gopher
Join us as we create a new surfing experience. OpenNIC domain registrations are free of charge — simply register your domain, agree to the terms of the specific TLD you’re registering with, and point your domain to whatever online services you have to offer.
www.opennicproject.org/
Para completar la infraestructura del servicio OpenNIC mantiene una lista de servidores capaces de realizar resoluciones recursivas. Estos servidores son capaces de resolver los TLDs ofrecidos por OpenNIC y tienen que ser utilizados por los usuarios como alternativa o complemento a los servidores que los ISP ponen a su disposición.
Public Access (Tier-2) DNS Servers
Public Access servers, in accordance with the OpenNIC DNS Specification, provide recursive responses to the public, requiring a hefty amount of data transfer.
www.opennicproject.org/publictier2servers
wiki.opennicproject.org/ClosestT2Servers
Como nos pareció una iniciativa interesante, nos propusimos comenzar a utilizar estos servidores. Pero antes de utilizar algo, nos gusta valorar el nivel de seguridad que nos ofrece. Por esta razón hemos realizado un pequeño estudio de los servidores listados por OpenNIC.
Consideraciones:
A continuación mostramos un resumen de los resultados obtenidos tras realizar algunas comprobaciones. Las comprobaciones realizan no más de 10 peticiones con el objetivo de comprobar si el servidor es un posible “open-emitter”, si muestra su versión software, qué TTL es capaz de procesar, si acepta peticiones no recursivas y si realiza una correcta aleatorización de los puertos desde los que realiza las peticiones de resolución.
El total de servidores sobre los que se realiza la comprobación es de 42. Quedan excluidos los servidores que operan en IPv6 en este pequeño estudio.
Los aspectos analizados los hemos reflejado de la siguiente forma:
Server | Open Emitter | TTL | RAND Ports | Version | RD flag | Rating |
58.6.115.42 | - | - | - | - | - | - |
202.83.95.227 | x | 2592000 | GREAT | exposed | no | 3 |
119.31.230.42 | x | 604800 | POOR (1port) | - | no | 0 |
66.206.229.101 | x | 604800 | GREAT | exposed | yes | 1 |
67.212.90.199 | 604800 | GREAT | exposed | yes | 2 | |
89.185.225.28 | x | 604800 | GREAT | exposed | no | 3 |
88.198.249.114 | x | 604800 | GREAT | exposed | no | 3 |
217.6.34.47 | x | 604800 | GREAT | - | no | 4 |
217.6.34.48 | x | 604800 | GREAT | - | no | 4 |
178.63.26.173 | x | 604800 | GREAT | exposed | yes | 2 |
178.63.26.174 | x | 604800 | GREAT | exposed | yes | 2 |
83.223.73.116 | x | 86400 | GREAT | - | yes | 4 |
178.63.26.172 | x | 604800 | GREAT | exposed | yes | 2 |
217.79.186.148 | x | 2592000 | GREAT | - | no | 3 |
78.46.76.144 | x | 604800 | GREAT | exposed | no | 3 |
78.46.76.146 | x | 604800 | GREAT | exposed | no | 3 |
92.243.8.139 | x | 604800 | GREAT | exposed | yes | 2 |
95.142.171.235 | x | 604800 | GREAT | exposed | yes | 2 |
82.237.169.10 | x | 604800 | GREAT | - | yes | 3 |
195.46.231.99 | x | 604800 | GREAT | - | no | 4 |
95.211.32.162 | x | 604800 | GREAT | - | no | 4 |
27.110.120.30 | x | - | - | - | - | - |
192.121.121.14 | - | - | - | - | - | - |
192.121.86.100 | x | 604800 | GREAT | - | no | 4 |
109.74.196.32 | - | - | - | - | - | - |
89.16.173.11 | x | 604800 | GREAT | exposed | yes | 2 |
74.207.247.4 | 604800 | GREAT | exposed | yes | 2 | |
205.185.120.143 | x | 604800 | GREAT | - | yes | 3 |
216.87.84.211 | 604800 | GREAT | exposed | no | 3 | |
184.154.13.11 | x | 604800 | GREAT | exposed | no | 3 |
66.244.95.20 | x | 604800 | GREAT | - | no | 4 |
69.164.208.50 | x | 604800 | GREAT | exposed | no | 3 |
69.164.211.225 | x | 604800 | GREAT | exposed | no | 3 |
64.0.55.201 | x | 604800 | GREAT | exposed | no | 3 |
68.68.18.197 | x | 604800 | GREAT | exposed | no | 3 |
72.14.189.120 | x | 604800 | GREAT | exposed | no | 3 |
69.164.196.21 | x | 604800 | GREAT | - | no | 4 |
208.74.121.196 | - | - | - | - | - | - |
72.232.162.195 | x | 604800 | GREAT | - | no | 4 |
128.173.89.246 | x | 604800 | GREAT | exposed | yes | 2 |
208.43.144.56 | x | 604800 | GREAT | - | yes | 3 |
67.159.25.26 | - | - | - | - | - | - |
Estadísticas de los resultados
TTL: Max 2592000 / Min 86400 / Med 604800
Open emitter: 34/42
Rand Ports: 36(GREAT)/1(POOR)
Version: 22/37
RD flag: 17(yes)/22(no)/4(time out)
Y por último las estadísticas de “Rating”:
Durante las comprobaciones se detectó que unos de los servidores utiliza un único puerto para realizar las resoluciones recursivas. Además el puerto utilizado es el propio puerto del servicio DNS (53/UDP). Esta configuración resulta peligrosa al exponer al servidor a ser víctima de un posible ataque de envenenamiento o denegación de servicio. El siguiente listado muestra una serie de peticiones realizadas por el servidor DNS sobre uno de nuestros servidores DNS Autoritarios, se aprecia el uso de un único puerto.
20:40:49.834987 IP 119.31.230.42.53 > @8.%$.?.!|3.53: 27952 [1au] A? 26524.subdomain.crabdance.com. (58)
20:40:49.835283 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 27952*- 1/1/2 A 1.111.1.111 (113)
20:40:50.662949 IP 119.31.230.42.53 >@8.%$.?.!|3.53: 56212 [1au] A? 18007.subdomain.crabdance.com. (58)
20:40:50.663301 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 56212*- 1/1/2 A 1.111.1.111 (113)
20:40:51.469681 IP 119.31.230.42.53 > @8.%$.?.!|3.53: 61742 [1au] A? 10214.subdomain.crabdance.com. (58)
20:40:51.470040 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 61742*- 1/1/2 A 1.111.1.111 (113)
20:40:52.361705 IP 119.31.230.42.53 > @8.%$.?.!|3.53: 57922 [1au] A? 31473.subdomain.crabdance.com. (58)
20:40:52.362052 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 57922*- 1/1/2 A 1.111.1.111 (113)
20:40:53.216820 IP 119.31.230.42.53 > @8.%$.?.!|3.53: 44946 [1au] A? 26389.subdomain.crabdance.com. (58)
20:40:53.217199 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 44946*- 1/1/2 A 1.111.1.111 (113)
20:40:54.024087 IP 119.31.230.42.53 >@8.%$.?.!|3.53: 21492 [1au] A? 26070.subdomain.crabdance.com. (58)
20:40:54.024431 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 21492*- 1/1/2 A 1.111.1.111 (113)
20:40:54.841505 IP 119.31.230.42.53 > @8.%$.?.!|3.53: 38277 [1au] A? 6472.subdomain.crabdance.com. (57)
20:40:54.841835 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 38277*- 1/1/2 A 1.111.1.111 (112)
20:40:56.073528 IP 119.31.230.42.53 > @8.%$.?.!|3.53: 39680 [1au] A? 5293.subdomain.crabdance.com. (57)
20:40:56.073886 IP @8.%$.?.!|3.53 > 119.31.230.42.53: 39680*- 1/1/2 A 1.111.1.111 (112)
Enlaces:
[+] www.opennicproject.org
[+] dns.measurement-factory.com/cgi-bin/openresolvercheck.pl/
[+] pastehtml.com/view/axwqfxv77.html (Anonymous DNS alternative propuse)
DNS, Hacktivismo
DNS, hacktivismo, opennic
junio 28th, 2011
2 responses
2 responses
Do you want to comment?
Comments RSS and TrackBack Identifier URI ?