Eh, volgens mij gaat het alleen over het proces, en niet
over de daadwerkelijke vulnerability zelf.

Je kunt eenvoudig webbased testen of de door jou gebruikte DNS resolver (vaak die van je ISP) kwetsbaar is voor aanvallen op [url=https://www.dns-oarc.net/oarc/services/dnsentropy]deze webpage[/url].

Beheerders (zij die van het dig tooltje gebruik kunnen maken) vinden [url=https://www.dns-oarc.net/oarc/services/porttest]op deze page[/url] meer informatie.

Een Windows versie van dig is overigens [url=http://members.shaw.ca/nicholas.fong/dig/]hier[/url] te vinden.

[url=http://isc.sans.org/diary.html?storyid=4765]Bron van de eerste 2 items[/url] en een waarschuwing voor het gebruik/toevoegen van caching servers achter NAT router/firewalls: er zijn types die geen of beperkte source port ramdomisation toepassen.

ik wacht wel tot de DVD uitkomt op internet, en pak dan een
verse zak chips..

Ben benieuwd hoe het met de DNS server van XS4All zit...

Als je met een Xs4all account naar de door
bitwiper genoemde url gaat:
https://www.dns-oarc.net/oarc/services/dnsentropy zie je 4x
de maximale score: GREAT
Ben benieuwd hoe dit bij andere providers is!

Ook als je achter een home router zit? Of staat dit er los van?

Staat er denk ik los van maar er is wel een
issue. Zelf heb ik een heel oude Speedtouch maar die heeft
wel een ingebouwde caching DNS server die met DHCP wordt
uitgedeeld (zelf gebruik ik dit niet). Als je achter een
commandprompt ipconfig /all intikt en als DNS server
10.0.0.138 terugkrijgt weet je genoeg. Ik heb gisteren even
naar die speedtouch getelnet om te kijken met wie die
ingeboude DNS server eigenlijk praat (uit m'n hoofd commando
fwdlist onder dns): dat was xs4all. Zolang niemand
(kwaadwillend) kan meekijken op de communicatie tussen die
modem en de xs4all DNS ben je (als ik het allemaal snap)
safe, want dan weten ze niet eens dat jouw modem een DNS
request doet.

Veiliger is denk om niet de caching DNS server in je modem
te gebruiken maar gewoon statisch de XS4All DNS servers in
elke PC te kloppen. Mocht het een aanvaller lukken om,
zonder dat de DNS server in je je modem requests uitstuurt,
er toch entries in te krijgen, dan heb je daar geen last van
als je die DNS server niet gebruikt. Het ongevraagd door je
modem heen pushen van DNS entries naar je PC lukt zeker niet
met NAT.

Die Speedtouch zal ongetwijfeld GEEN randomisation doen van
de sourceport van uitgaande whatever calls vanuit je LAN,
ook niet als dat toevallig DNS requests zijn. Maar zoals ik
al eerder schreef: alleen XS4all ziet die. En als je die
niet meer zou kunnen vertrouwen....

Dus als je na dat ipconfig /all commando 10.0.0.138
terugkrijgt is het goed?
In mijn router staat de DNS ingesteld op 194.xxxxx (van
XS4All). Dit verandert, zover ik weet, nooit - is altijd
hetzelfde. Dat is dan in orde?

Kennelijk begrijp je me
niet helemaal, als je dat ziet gebruik je de DNS server in
de Speedtouch, iets wat ik niet doe en niet aanraad.
Ja, dat is,
voor zover ik overzie, veiliger dan Speedtouch DNS server
gebruiken (die op zijn beurt weer xs4all gebruikt), maar of
dat voor DNS issues van deze maand veel uitmaakt weet ik
niet. De juiste IP adressen voor de xs4all resolvers vind je
overigens helemaal bovenaan deze page:
http://www.xs4all.nl/helpdesk/servers.php

Ik kreeg na het commando ipconfig /all als DNS server
192.168.xxx.xxx terug. Dit is volgens mij ook het interne
gebeuren van de ST.
Hoe zorg ik ervoor dat er naar de DNS server van XS4All
wordt gekeken? Of dit de router dit al aangezien de
instellingen in de router op 194.xxx.xxxx.xxxx staan?

Hoi,
naar aanleding van het bovenstaande heb ik de test URL even gebruikt om de DNS servers van Ziggo te testen. De test levert 4 x GREAT op. Hier moet ik wel bij aantekenen dat de twee DNS server IP-adressen verschillen in de laatste twee octets van de twee DNS server adressen die ik te zien krijg als uitvoer van het IPCONFIG /ALL commando. De twee geteste Ziggo adressen zijn: 212.54.41.232 en 212.54.35.230. Zelf zie ik de DNS server adressen 212.54.40.25 en 212.54.35.25.
Groeten,
dr.Bob.