Kolega me zamolio da mu pomognem utvrditi zašto ne može otvoriti neke web stranice. Provjerom sam utvrdio da te stranice mogu bez problema otvoriti - sa svog računala.Kolegi to nije pomoglo, jer njemu te stranice i neki forumi koji korisnici rabe jednostavno ne rade. Je li možda problem u DNS-u?

Zaista, "nslookup" i "dig" alati nisu mogli otkriti IP adrese tog poslužitelja. Zajednička poveznica kolege i mene je što još koristimo operativni sustav Solaris i staru inačicu BIND paketa. No, BIND u odnosu na linux strojeve zaostaje samo nekoliko minor revizija, a nikakvi bugovi se nisu mogli detektirati u inačicama instaliranima kod nas. Dakle, čini se da inačica BIND-a nije problem.

Daljnjim istraživanjem uočili smo razlike u db.root datotekama (odnosno named.root na Solarisu). One navode početne, "root" nameservere, koji su iznimno važni za funkcioniranje cijelog DNS sustava. Prebacivanje svježije datoteke sa stroja pod linux stroja nije urodilo plodom. Uzrok je trebalo tražiti dalje. Nažalost, nitko se od nas nije sjetio portala za sistemce, gdje je ovaj problem već opisan.

Prvi čvrsti dokaz da se radi o lokalnom problemu dobili smo kad smo preko nadređenog DNS poslužitelja pokušali "resolvati" tu adresu. I regionalni, i drugi CARNet DNS poslužitelji (dns.carnet.hr) uspijevali su "resolvati" tu adresu.

Nakon detaljnijeg pregleda konfiguracije uočili smo da se IP adresa kojoj pokušavamo pristupiti nalazi u posebnom acl (Access Control List) bloku - bogon listi. Sada je sve bilo jasno. Brisanje acl-a, odnosno brisanje "blackhole" unosa u "options" bloku named.conf datoteke riješilo je problem.

No, što su zapravo bogon liste?

Bogon liste su rasponi IP adresa koji još nisu dodijeljeni ni jednoj mreži, te stoga mogu izvrsno poslužiti za DoS napade. Zbog toga postoje filtri u DNS servisu i routing listama jer ni jedan paket ne smije doći s tih adresa. No, ove IP adrese se povremeno (svakih nekoliko mjeseci, u prosjeku 4 mjeseca) dodjeljuju novim institucijama odnosno ISP-ovima. Upravo nam se to dogodilo: uslijed neažurnosti lista, koje još uvijek blokiraju sada već "legalne" raspone IP adresa, bio nam je nedostupan dio interneta .

Dva su načina rješavanja ovog problema: uopće ne rabiti bogon liste, ili ih redovito osvježavati. Prvi način je jednostavniji, no otvara mogućnost ozbiljnih napada izvana. Drugi način traži veći angažman, jer automatiziranog osvježavanja nema. Prve inicijative za rješavanje toga problema su se pokrenule, a spomenut ćemo neke relevantne web stranice.

Web site koji se bavi problematikom bogon lista i nudi download osvježene bogon liste. Tu je i mailing lista s najnovijim promjenama u bogon listi:

http://www.cymru.com/Bogons/

Tekstualna bogon lista spremna za ubacivanje u vaš DNS sustav ili router listu:

http://www.cymru.com/Documents/bogon-bn-nonagg.txt

Alat za provjeru dostupnosti pojedinih raspona IP adresa:

http://www.ris.ripe.net/debogon/

Potpuna lista Ipv4 adresnog prostora:

http://www.iana.org/assignments/ipv4-address-space

Linkovi na članke s CARNetovog portala za sistem-inženjere, autori Zdenko Škiljan i Aco Dmitrović:

http://sistemac.carnet.hr/index.php?&id=89&backPID=36&swords=bogon&tt_news=22&cHash=97fded7625

http://sistemac.carnet.hr/index.php?&id=89&backPID=36&swords=bogon&tt_news=243&cHash=b70e82a322