Makinenizde DNS sunucusu kurma

[GERGE]

Kendi kurdugum sunucunun local versiyonu icin yaptiklarimin hepsini birer programa cevirdim otomatik yapan. OS X'de calisiyor.

Kuran, silen ve guncelleyen birer program var. Hepsi reklam ve izleme engellemelerini kullanmak isteyip istemediginizi soruyor, gerekli bilgileri veriyor. Buradalar: http://drop.muratcansimsek.com/DNSKur.dmg

Automator ile hazirladim, onunla acip icinde ne varmis bakabilirsiniz.

Sizin makinenize acik olacak sadece, sizden baska girip kullanabilen olmayacak, o nedenle guvenlik ayarlari filan minimum da.

Bana ne faydasi olur diyorsaniz:[list=1]
[*] Bir kere girdiginiz sitelere 0ms DNS sorgusuyla girmeye baslarsiniz. Aksi halde DNS sunucusuna sorgu yollayip, onun cache'sinden cevap alip, oyle girersiniz en iyi ihtimalle.
[*] Daha once girmediginiz sitelere ise bir kademe arama ile girersiniz. DNS sunucunuz root name servelari sorgular, aldigini size bildirir. Aksi halde once DNS sunucusunu sorgularsiniz, o cache'sinde yoksa root name serverlari sorgular, aldigi cevabi size bildirir.
[/list]Yine de Google gibi herseyin cache'de durdugu bir DNS sunucusuna gore daha yavas olabilir ama cok daha guvenli oldugu kesin.

DNS olayinin ana mesela yaptiginiz her sorgunun karsida kaydedilebilir olmasi. Google DNS'lerini kullanirsaniz mesela Google girdiginiz her domain'i ve subdomain'i gorebilir. 2-3 gunde bir loglari sildiklerini soyluyor ama guven meselesi yine de.

[Editor]

Puhahah kandirma milleti sen hic bisi bilmiyorsun ya

Hic bir ise yaramaz dns localde
Bikere girdigin siteye zaten localde cache i alinio servere ihtiyaci Yok cache icin DNS re cache basbelasi bisi zaten.senin pc her giriste remote sorguluyormu saniyorsun?

Dns kurcakmisiz ahahha normal dns ten daha uzun surer sorgular 1
2 ncisi dns server ayarlarindan en ufak bahsetmemissin
Oyle her dns server roottan alamaz anca forward yaparsin baskabir dns serverdan
Acikcasi cok gereksiz ayrica bisekilde yanlisliklada olsa disariya acarsan portu sictin 53 suan izlemede , yasakli sitelere girildigini ogrendiklerinde evi basarlar:)

[GERGE]

Uzgunum ama neyden bahsedini bilmeyen sensin burada.

Local DNS cache sik sik tekrar sorgu yollayan bir sey. Bir kere baktigi siteyi surekli tutmuyor. Burada kurdugum sunucu prefetch ozelligi ile cache'de suresi dolmak uzere olan siteleri kendisi yeniliyor tekrar kontrol ederek. Local cache bunu yapmaz.

DNS poisoning olayina karsi tam savunma sagliyor ayrica sadece local oldugu icin

Normal DNS'den daha uzun sorgu surdugu yok cachelenmeyen yerler icin, Google Public DNS ve bununla Google'i digledim cache temizleyip, Google cachesinden cevap verdi, ben sifirdan sorgu attim root'tan baslayip:

http://drop.muratcansimsek.com/Screen%20Shot%202015-04-24%20at%2009.51.15.png
http://drop.muratcansimsek.com/Screen%20Shot%202015-04-24%20at%2010.00.57.png

Benzer sureler gordugun gibi.

Ayarlarindan bahsetmeme gerek yok, icinde yaziyor nerede ayar yapildigi. OS X kullanan biri nasil acip gorecegini bilecektir, sonucda verdigim bir script wrapper sadece. Gerisi man unbound komutuna kalmis.

Forwarding DNS degil bu arada: calistigi ayar su:

server:

	        verbosity: 0

	        interface: 127.0.0.1

	        username: msimsek

	        prefetch: yes

	        chroot: ""

	        root-hints: "/usr/local/etc/unbound/root.hints"

	        include: /usr/local/etc/unbound/local-blocking-data.conf

	        include: /usr/local/etc/unbound/turkish-blocking-data.conf

	        auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"

Root hints ile root name server'lara bakiyor. Onu da buradan aliyor: ftp://ftp.internic.net/domain/named.cache ORSN'ye gecmeyi dusunuyorum ama.

root-hint'de su:

root-hints: <filename>

	              Read the root hints from this file. Default is nothing, using

	              builtin hints for the IN class. The file has the format of zone

	              files, with root nameserver names and addresses only. The

	              default may become outdated, when servers change, therefore it

	              is good practice to use a root-hints file.

Senin dedigin icin acikca forward-zone belirlemen gerekli, oyle bir sey yapmadim ben. Recursive dns burada kurulan, suradan ogren ne oldugunu: http://en.wikipedia.org/wiki/Domain_Name_System#Recursive_and_caching_name_server Google Public DNS filan hep recursive server suradan da gorebilecegin gibi: https://developers.google.com/speed/public-dns/docs/intro Her Recursive DNS root'tan alabilir, oyle ozel bir izin filan gerekmiyor.

Cok az ayar var cunku Unbound varsayilan olarak localhost icin calisan bir recursive dns. Default ayarlar tamamen sane yani bu durum icin. Public DNS kurmak istersen ayar yapman gerek.

53. portu acmak ile de bir ilgisi yok. Unbound sadece localhost'tan gelen baglantilara cevap veriyor, istedigi kadar acik olsun yani. Ilgisi olsa da onemli bir portu yanlislikla acmak icin first grade moron olman lazim, hakedersin basina geleni.

Bir ise yarar yani. Google'in ana gelir kaynagi reklamlar, oteki corporate olusumlar icin de kullanici bilgisi en onemli seylerden. Corporate bir DNS kullandiginizda girdiginiz her domain kaydedilir. Siliyoruz deselerde inanmamayi tercih ediyorum ben. Telekom DNS kullandiginizda da Telekom girdiginiz her domain'i kaydeder, yasal olarak etmek zorunda hatta. Niye en onemli kisisel bilgilerimden olan DNS bilgimi vereyim? Ozellikle korumam mumkunken? Root ile aramdaki baglanti da DNSSEC ile korunuyor.

Suralardan daha cok bilgi alabilirsin: https://wiki.archlinux.org/index.php/Unbound https://unbound.net/documentation/index.html

[sharky]

Locale DNS kurmanın tek negatif yanı resource yemesi, ama bu da ayarlanabilir her şekilde.

Bu tarz bir probleminiz yoksa her türlü daha hızlı response alırsınız public dns lerden.

Üzgünüm Editor.

[axedice]

Bu topikten hiç bişey anlamadım. Tek anladığım

GERGE (tu)

Editör (td)

keywords : çabukvpn hırsız, çabuk vpn dolandırıcı, çabukvpn hem işi bilmiyor hem de bilgilerinizi büyük şirketlere satıyor

[bingildak]

editör evrensel kötülüğünü bu başlıkta da vücuda büründürmüş.

[-Deno-]

sexdice'a katılıyorum.

neden sürekli bir karşı gelme halinde bu adam ?

[Rasmon]

belli ki kalkmıyo

[GERGE]

Windows'da nasil yuklenecegi hakkinda bunu buldum, yukarda kendi ayarimi da verdim: http://npr.me.uk/unbound.html

Yapin bence. Vermeyin dns verinizi kimseye.

[di]

Topigi yolda gorup editore laflar hazirlamistim ofiste yazarim diye de gerek kalmamis. ahah

[GERGE]

Recursive, forwading ve authoritative DNS olaylari internetin temellerinden. Benim anlamadigim Editor daha bunlarin ne oldugunu bilmeden nasil bir suru buyuk kurumsal musterisine sunucu ve vpn hizmeti veriyor? Hosting vereyim filan diyordu, nameserver'i yok mu adamin? Niye bilmiyor bunlari?

Aha bu root serverlara direk sorgu, sorulan ilk sey:

http://drop.muratcansimsek.com/Screen%20Shot%202015-04-24%20at%2012.18.57.png

com.tr

http://drop.muratcansimsek.com/Screen%20Shot%202015-04-24%20at%2012.22.52.png

[Editor]

Tey allahim ciddi Sorunlusunuz Local de DNS :)

nic.tr bile bunu beceremezken siz daha patolojisini bilmezken bu işe girişiyorsunuz Biraz network uzmanlığı eğitiminiz olsa gık demicem
Gidin siz anime filan izleyin bu işlere karışmayın


Shark yani senden de beklemezdim sadece resource mu sorun ? Saçmalam lütfen.

Respond Time düşükmüş HAHA LoCAL Tabiki düşük olcak ilk açılışlardan bahsediyorum nolcak ? Double DNS arkasında çalışmak kadar kötü bişi yok...
Değişiklikleri algılayamazsın. Aksine DNS poisoning i bırak IP poi yersin.

hadi onu geçtim Amplification Attacks nolcak ? hadi onuda salla lan Ofshore Register firmaları nolcak ? source spoof yaptığında nolcak ?

Abi ben nediyorum güvenlik diyorum orda cevabımda güvenlik nasıl yaparsın forwarding en temizi başka bişile uğraşmassın ama gelip kendin rootan çekersen sıçtın haha
Hadi local de birazdaha güvenlisin ama remote DNS sunucu bunlara tamamen açık.
Hijacking in allahını yersin.

Halen DNS verinizi kimseye vermeyin diyor asklfjaskfas IP adresin hiç belli değil zaten tabi gizle sen.

Ayrıca HEPSini geçtim sen burda Networking ile alakası olmayan insanlara alın şunu okuyun yapın dememen gerekir BU dünyanın en KEKO şeyi git DH forumunda yaz bunları

Hatta alın bulabildiğim en basit DNS anlatimi okuyun zahmet olmassa ...

http://www.sans.org/reading-room/whitepapers/dns/security-issues-dns-1069

[Editor]

Sorun ne biliyormusun ?

Mac olmasa MAC in shell i olmasa bunların hiç birini bilmiyor olacağın
Low tier NERD sin başka bişi değil

[Editor]

Ayrıca TTL ve SOA Ayarlarına bi göz at ondan sonra cevap ver bana yeni gördüm şimdi SS i

[Rasmon]

Şimdi editör de biraz haklı gibi geldi bana.

[RaidenXelRu]

kaynak kodu belli olmayan OS X Disk Image file dagitiyorsun, bunu akli basinda olan kimse execute etmemeli.

[RaidenXelRu]

sharky said:

Locale DNS kurmanın tek negatif yanı resource yemesi, ama bu da ayarlanabilir her şekilde.

Bu tarz bir probleminiz yoksa her türlü daha hızlı response alırsınız public dns lerden.

Üzgünüm Editor.

bu biraz yuzeysel bir yaklasim olmus acikcasi.


O "her turlu ayarlanir" dedigin durum sana maliyet olarak geri donuyor. Locale dns kurmanin diger negatif yani, o dns serveri maintain etme eforu harcamasi lazim kisinin. Eger localdeki dns serveriniz down olursa, dunya ile iletisimi kesiyorsunuz bir bakima.

Simdi bu negatif yanlari daha hizli response ile trade-off edicekseniz, bu response time'in deltasindan bahis edilmesi gerekiyor. kac ms ?

[GERGE]

Automator script abi o, yazdim orada. Acin bakin da dedim. Kaynak kodu nasil belli degil?

Pek fazla bakim gerektirdigini de sanmiyorum. Unbound ciddi anlamda basit bir program. Kaynak da kullanmiyor, tek makinenin kullandigini dusunun burada, yuzlerce makinenin oldugu bir network degil benim evim. CPU kullanimini %1'in ustune cok nadir cikiyor ve query yapmadiginda %0'da duruyor. Hafiza kullanimi da az.

[Editor]

Hayır adama VPS ine kurdu diye laf ediyorduk

-yahu biz sırf dns server a 1 adam ayırıyoruz
-biz bile commercial olarak dns açmak için kendimize güvenemiyoruz

Derken.... adam gitti kendi kendi makinaniza DNS kurun dedi ahaha

Unbound u niçin kullanıyor millet biliomusun ? Nameserverları kullanmak için. Çok manual girdisi olduğu için kullanıyorlar 2. si Devamlı offical Rootlardan Check yapıyorlar... Üstüne SSL kullanıyorlar devamlı çünkü biliyorlar SAKAT yönlendirme olabilir... ROOT larla aranıza spoof yapabilirler filan.

Hayır kimse yanlış anlamasın beni ben söylerim nasıl güvenli şekilde DNS serveriniz olur, kullanırsınız filan...

AMA yani GEREKSİZ ÖTESİ bir olay ya GERESİZ ÖTESİ... okadar paranoyasanız OPENDNS kullanın dnssec le hadi onadamı güvenmiyorsunuz Commercial Datacenter Providerların DNS lerini verim serverlar için kullandıkları, onları kullanın.

Abartmayın. DNS server yönetimi hakkında en ufak bilginiz yok. Gelip benle kıyaslama yapıo önceki konudada VPS ile Dedicated serverlarımı kıyasladı :D Noluyor yani amaç ne ? komik...

Bana gelmiş dig leyip *aha bak bunu yazdım sorguladı* diye ss alıp gösteriyor HAHA 15 yaşındaki çocuğun server kurup active directory default ayarlarıyla bırakıp kurdum *aha system adminim demesi* gibi tavırlarla gelmeyin bana.

[GERGE]

Root servelari sorgulayamazsin, sorgu yavas olur dedin; root serverlari sorguladigini ve sorgunun yavas olmadigini gosterdim.

Guvenlik acisindan bakarsan public'den daha guvenli.

[senko]

biraz daha teknik konuşunda öğrenelim bizde ne nasıldır :)

misal fowarding yapmadığın zaman offshore register'lardan alamıyor muyuz bilgileri?

bir de localdeki dns'e amp attack veya spoofing yapılması bayağı bir düşük şans değil mi
vps'e attack gelmesini anlarım da, localdeki makine ile kim uğraşacak, üstüne yine amp attackları ISP seviyesine çıkmadan çözebilen teknikler var diye biliyorum.
sadece udp paketleri trace ederek bile dns amp'i engelleyebilirsin? gerçi bunun için ayrı resource gerekicek.

[sharky]

Selam,

MacOSX üzerine kurulacak X bir DNS sunucusunun yararlarından ya da zararlarından bahsetmiyorum. Eğer ki yeterince resource 'unuz varsa ve hayatınız bol bol HTTP üzerinde geçiyorsa, locale DNS kurmak mantıklı. Netekim 127.0.0.1:53 e kurmak mantıklı elbette. GERGE de okuduğum kadarıyla böyle yazmış zaten.

Buradaki amaç, local DNS cache 'in yanında ekstra bir cache oluşturmak. Elbette ilk queryler bir hayli yavaş çalışacak, fakat sürekli açık bir sistem olduğunu varsayarsak, ziyaret edilen sitelerden - ki hayatı HTTP olan birinde genellikle aynı FQDN çözümlemeleri artar - DNS 'in cache 'ine hit edilmesi çok olası ve cache edildiğinde network latency yaşanmayacağından oldukça düşük response timelarda cevap alınması çok olası.

Basit mantık çalışıyor burada. Öyle çok detaylı düşünülecek bir konu değil bu. Browserların ziyaret edilen sitedeki contenti cacheleyip, bir kaç signature check ile tekrar fetch etmemesi mantığından çok daha farklı bir mantık değil.

Tekrar altını çiziyorum, dışarıdan trafik almayacak ve varolan sistem resourcelarını sömürmeyecek şekilde ayarlanmalı. Trafik almazsan, atak alma şansın da minimize olur zaten.

Uzun uzadıya her yazdığımı açıklayamıyorum işten güçten dolayı. Yüzeysel bulan arkadaşların zamanı varsa konunun derinine insinler, takıldıkları yerlerde yardımcı olmaya çalışırım.

[sharky]

Tekrar selam,

Bu arada belirtmeden geçemedim. Ego elbette herkese gerekli, ego ve hırs olmadan bir insanın yükselebilmesi ya da kazanabilmesi için çok şanslı olması lazım bu teknoloji dünyasında.

Fazla ego, özellikle teknik seviyesi belirli bir seviyenin üzerinde olan insanların dikkatini çeker. Sizin yazdıklarınızı durduk yere daha dikkatli okumaya ve genellikle yazılanlardan hangisinin altı dolu, hangisinin altı boş olduğunu anlamaya başlarlar.

Günün birinde karşılaşırsınız falan, işiniz düşer. "Arda Bey ?" 'e dönebilir konu.

Dikkat etmek lazım.

[GERGE]

Bu nedenle Unbound ile kurdum ben de. Kendisi temel olarak kucuk networkler icin local recursive server.

Bu nedenle default olarak epey optimize; zaten dedigim gibi, iki-uc gundur kapanmadan calisiyor, kaynak kullanimi yok denecek kadar az oldu.

[sharky]

Evet, ben de zaten senin use case için bu konu mantıklı ama başkası için locale DNS kurmak pek anlamlı olmayabilir demek istiyorum. :)