今天遇到了一个用于glibc的开发利用,这涉及到对DNS解析的getaddrinfo()调用。我在面向互联网的两个Bind9盒上运行Ubuntu12.04。我不确定我是否完全理解这个漏洞,但是它似乎是由一个恶意DNS服务器的大量回复引起的。其中一个缓解措施是“防火墙丢弃UDP数据包> 512字节”,因此我在DNS服务器上配置了netfilter以删除来自或将要从端口53:-A INPUT -i lo -j ACCEPT -A INPUT我已经用scapy测试了这个规则,它确实阻止了在端口53处抛出的
有没有任何诊断工具可以帮助我了解系统是如何尝试(或失败)进行DNS解析的?mu:~$ dig dl.google.com
;; global options: +cmd;; connection timed out; no servers could be reached什么服务被要求为我解析DNS查找。它似乎可以是系统解决,或