fantasy by root dns

Buongiorno tutti

introduco un problema che ho affrontato pochi giorni orsono presso la 
società
per cui lavoro come systems and security administrator. La società 
fornisce
servizi business di dialup, VoIP, housing, hosting, accounting etc., e 
dispone di
un call center telefonico al quale possono rivolgersi tutti i clienti.
Il webserver principale mantiene circa 1200 vhost, e questo fattore ha 
moltiplicato
l'entità del problema che ora vado a proporvi.
Venerdì 28 giugno raggiungo gli uffici della società, verso le due del 
pomeriggio.
Metto mano ad alcune macchine prima che arrivi una mail da un cliente di 
spessore,
nella quale veniamo pregati di "risolvere il problema che da Londra non 
si vede il
nostro sito". Ho molte cose da fare, ma controllo in parallelo da una 
macchina esterna
se c'è visibilità; ed è tutto a posto.
Nel giro di poco meno di un'ora altri clienti iniziano a proporre lo 
stesso problema
insistendo sul call center e io inizio a preoccuparmi. Da diverse parti 
del mondo ci sono
problemi di accesso al webserver, dall'italia addirittura alcune 
macchine lo raggiungono
correttamente e altre no. Mi viene in mente il dns. Controllo e verifico 
che l'a.root-server
restituisce una risposta non autoritativa con ip completamente cannato. 
E' panico. Molti
browser accettano la non autoritativa e fanno timeout di connessione; 
l'ip sbagliato si
propaga nelle cache di diversi nameserver (osservo su una decina di 
macchine in italia
e usa alle quali ho accesso).
Provo a fare una richiesta di risposta autoritativa ai rootserver in 
modo che aggiornino
la cache con l'indirizzo corretto, ma non accettano ricorsività. Inizio 
quindi a scrivere alcune
mail chiedendo spiegazioni.
Dopo un paio d'ore di panico, i rootserver risolvono nuovamente in modo 
corretto l'hostname
e mi tranquillizzo, convincendomi che entro sera le cache in giro per la 
rete si sarebbero corrette
di riflesso.

Quello che non riesco ancora a spiegarmi è semplicemente la natura di 
questo casino. Perché?
L'ip della macchina in questione è fisso da 4-5 anni, e la sua 
risoluzione è affidata a due macchine interne alla rete della società; 
non esistono nameserver secondari con zone transfer.
Ho pensato ad un hack su qualche macchina esterna propagatosi per la 
rete, ma mi sembra
una soluzione complessa, visto che avrebbe dovuto andare ad agire 
appunto su cache, quindi,
virtualmente, in ram, anziché su configurazioni. Certamente le nostre 
macchine non hanno subito accesso, quindi la questione si fa sempre più 
misteriosa.

Il problema è sciolto, ma in nome di scienza sono interessato a sapere 
se qualcuno ha da proporre qualche possibilità intelligente.

ciao


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List