Das österreichische StartUp https://nimbusec.com/ beschäftigt sich mit dieser Problemstellung.
Wobei die nicht den fehleranfälligen PHP-Code detektieren, sondern deren Algorithmen durchforsten die PHP-Files am Server und sollen recht zuverlässig WebShells detektieren. Wenn man das also täglich oder mehrmals täglich laufen lässt, dann hat man zumindest eine Einbruchserkennung (die meisten Angriffe hinterlegen irgend einen Codeschnippsel der eine WebShell bereitstellt).
Beiträge von gunnarh
-
-
n1, ns2, …?
Dass man mehrere NS Records hinterlegt ist klar und war denke ich nicht gemeint.Angenommen jemand hat ein /47er Netz, dann ist für ein /47er Netz ja keine Delegation per NS-Record möglich. Man kann zwei /48 eintragen um ein /47er abzubilden - das war denke ich gemeint.
Aber für alle durch 4 teilbare IPv6 Netze ist eine unmittelbare Delegierung ohne Tricks möglich.für IPv4-Adressen
Die lassen sich nur an den durch 8 teilbaren Netzgrenzen delegieren, also im Minimum ein /24er IPv4 Netz. -
Zitat
Der eine Anbieter hat es dabei wie folgt umgesetzt, dass er einfach für mein spezifischeres /48 Netz ein/mehrere NS-Records zu meinen Nameservern erstellt hat.
Verstehe ich nicht. Hilf mir mal bitte den Knopf in meinem Kopf zu lösen.
Die ip6.arpa Einträge sind an jedem HEX-Zeichen der IPv6 Adresse möglich, somit sind an allen durch 4bit teilbaren Netzgrößen auch NS-Records setzbar.Beispiel: IP Adresse 2a03:4000:6:71ec::cafe
Codedig -x 2a03:4000:6:71ec::cafe ... ;; ANSWER SECTION: e.f.a.c.0.0.0.0.0.0.0.0.0.0.0.0.c.e.1.7.6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa. 86052 IN PTR nc.hitco.at. ... ;; AUTHORITY SECTION: 0.0.0.4.3.0.a.2.ip6.arpa. 153456 IN NS root-dns.netcup.net. ...Die NetCup Nameserver sind hier für das Netz 2a03:4000::/32 zuständig (8 HEX-Zeichen x 4bit = 32bit)
Will ich für mein Netz 2a03:4000:6:71ec::/64 einen eigenen Nameserver nutzen, so müsste NetCup in deren root-dns.netcup.net Nameserver einen NS Record auf meinen Nameserver setzen, und zwar an dieser Position hier:
Codec.e.1.7.6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa. ... IN NS ns1.hitco.at.Hätte ich ein /48er Netz, so wäre es eben nicht nach 16 sondern schon nach 12 Zeichen:
Code6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa. ... IN NS ns1.hitco.at.Warum meinst Du, man müsste für ein /48er Netz mehrere Einträge erstellen? Habe ich hier einen Denkfehler?
-
felix: Die NS Records wären nicht für das /32er Netz sondern nur für das /64er Kunden-Netz in eurem Nameserver einzutragen - denke das hast Du inzwischen aber bereits erkannt.
Ich hätte an diesem Feature übrigens auch Interesse. Nachdem mir der komerzielle Anwendungszweck fehlt würde ich dafür zur Zeit jedoch kein Geld ausgeben.
-
Dein Einwand ist vollkommen berechtigt, genau daher möchte ich ja nicht die Google-Resolver verwenden, sondern lokale Netcup Resolver die nur 1-2 Hops entfernt von meinem Server stehen.
Ich kann freilich einen Resolver lokal betreiben, hätte dann aber gerne noch einen zweiten. Und ehrlichgesagt ist es mir schleierhaft was Netcup da als Resolver einsetzt - die mir bekannten Resolver beherrschen seit Jahren in der Default-Konfiguration DNSSEC - das muss also extra abgeschaltet worden sein. -
Mein Server bei Netcup nutzt folgende zwei DNS-Resolver (von Netcup zur Verfügung gestellt):
46.38.225.230 46.38.252.230Diese beiden haben aber kein aktiviertes DNSSEC. Fragt man eine DNSSEC aktivierte Domain z.B. mit "dig +dnssec ..." ab, so wird kein AD-Flag (Authenticated Data) zurückgeliefert.
Ich könnte freilich einfach die Google-Resolver 8.8.8.8 und 8.8.4.4 verwenden, die liefern bei DNSSEC aktivierten Domains korrekt das AD-Flag, somit könnte ich damit einen Mailserver der ausgehend mit DANE arbeitet einfach in Betrieb nehmen. Mir widerstrebt aber eigentlich die Google-Resolver auf meinem Rootserver zu konfigurieren.
Stellt Netcup vielleich noch andere Resolver als die von mir oben genannten bereit, die DNSSEC beherrschen?
-
Danke Christian für die Rückmeldung. Bei Details+Vergleich wird der RS 500 leider nicht gelistet, daraus resultierten ja meine Fragen.
Danke an Lars für die Aufklärung - alles klar, wunderbar.
-
Beziehe mich auf dieses Sonderangebot hier: RS 500 SAS G7SEa1 12M
https://www.netcup.de/bestellen/produkt.php?produkt=1607Festplatte: 4 x 120 GB SAS, "sieht" man in der VM wirklich 4 Stück Disken je 120GB, oder wird das bereits vom Hostsystem als eine virtual Disk durchgereicht? Effektiv nutzbar sind dann vermutlich 240GB?
Konnte leider nichts zur Netzwerkanbindung finden. 100MBit oder Gigabit?
Gibt es (abgesehen von CPU/RAM/HDD) noch andere Abweichungen zu den regulären RootServern?
netcup GmbH - Root-ServerKonkret: Rettungssystem, Snapshot-Export, DDoS-Schutz, IPv6-Adressen - identisch zu den größeren nutzbar?
-
Nehme an ihr meint mit der "c't Aktion" diese Angebote hier?
https://www.netcup.de/nerdcard/root-server -
Musste jetzt etwas suchen, welches c't Angebot ihr meint.
Ich vermute die "Nerd-Card" Aktion aus c't 25/2016 ist gemeint?
Die Angebote findet man hier: https://www.netcup.de/nerdcard/root-server
