Forum Linux.général BIND sur le port 53 en TCP?

Posté par  .
Étiquettes : aucune
0
25
avr.
2009
Bonjour,

Je veux configurer BIND sur mon ordinateur pour "voir" comment cela fonctionne.
Quand je lance BIND et que je balaye les ports avec nmap, j'ai mon BIND qui tourne sur le port 53 en TCP.
Je toujours lu que le service DNS fonctionnait en UDP, alors pourquoi BIND travail en TCP?


Merci d'avance

  • # Les deux, mon général.

    Posté par  . Évalué à 6.

    Les deux peuvent être utilisés indiffrement (du moins c'est ce que je comprend de la RFC).
    Dans la pratique les requêtes simples utilisent UDP et les transferts de zone TCP.
    (ce qui est aussi ce que j'ai l'impression que recommande la RFC).

    http://www.frameip.com/rfc/rfc1035.php
    (Section 4.2)

    • [^] # Re: Les deux, mon général.

      Posté par  . Évalué à 1.

      Merci,

      Mais alors si j'envoi un paquet UDP au serveur BIND qui tourne en TCP, il va pas le rejeter, c'est bien ça?

      • [^] # Re: Les deux, mon général.

        Posté par  . Évalué à 2.

        si tu envoies une commande UDP sur le port TCP, il ne va probablement pas repondre

        mais logiquement tu as le port UDP ouvert
        (netstat -anu sur tn serveur bind)


        enfin pour etre precis, la RFC stipule que si les reponses sont courtes, alors l'echange se fait une UDP, et si les reponses sont longues, alors l'echange bascule en TCP.

        ex : un MX avec beaucoup de machine

        la commande dig mx domain.com doit lister tous les serveurs MX qui gerent @domain.com

        si la reponse est longue, tu devrais voir passer un message
        ;; Truncated, retrying in TCP mode.
        avant de voir la reponse du dig

        • [^] # Je proteste !

          Posté par  . Évalué à 3.

          dig MX domain.com

          ; <<>> DiG 9.4.2-P2 <<>> MX domain.com
          ;; global options: printcmd
          ;; Got answer:
          ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42054
          ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

          ;; QUESTION SECTION:
          ;domain.com. IN MX

          ;; ANSWER SECTION:
          domain.com. 3600 IN MX 10 sentry.domainbank.com.

          ;; ADDITIONAL SECTION:
          sentry.domainbank.com. 300 IN A 64.85.73.28

          ;; Query time: 357 msec
          ;; SERVER: 192.168.1.1#53(192.168.1.1)
          ;; WHEN: Sun Apr 26 14:42:18 2009
          ;; MSG SIZE rcvd: 78

          la réponse est très courte !

          (c'est par où la sortie ?)

          • [^] # Re: Je proteste !

            Posté par  . Évalué à 2.

            dtc

            non ?

            evidemment domain.com
            est un domain d'exemple, qui peut ne pas exister
            ou il peut exister mais ne pas avoir de reponse assez courte.

            mais c'etait pour l'exemple de la commande

            PS : quand j'avais voulu faire le test, j'avais quand meme du mettre pas loin de 200 lignes de MX pour voir mon bind passer en mode TCP

            • [^] # Re: Je proteste !

              Posté par  . Évalué à 2.

              J'avions bien compris, ce n'était que de l'humour ;)

  • # Scan

    Posté par  . Évalué à 0.

    Merci pour vos réponses.
    Je vous envoie le résultat de mon scan.

    Pouvez-vous me dire pourquoi nmap me "dit" que BIND tourne en TCP et netstat me "dit" UDP?


    Starting Nmap 4.60 ( http://nmap.org ) at 2009-04-26 16:02 GMT
    Interesting ports on localhost (127.0.0.1):
    Not shown: 1712 closed ports
    PORT STATE SERVICE
    53/tcp open domain
    631/tcp open ipp
    953/tcp open rndc

    Nmap done: 1 IP address (1 host up) scanned in 0.389 seconds
    bash-3.1# netstat -anu
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    udp 0 0 0.0.0.0:55829 0.0.0.0:*
    udp 0 0 192.168.0.3:53 0.0.0.0:*
    udp 0 0 127.0.0.1:53 0.0.0.0:*
    udp 0 0 192.168.0.3:53 0.0.0.0:*
    udp 0 0 127.0.0.1:53 0.0.0.0:*
    udp 0 0 0.0.0.0:68 0.0.0.0:*
    udp 0 0 0.0.0.0:50122 0.0.0.0:*
    udp 0 0 0.0.0.0:631 0.0.0.0:*

    • [^] # Re: Scan

      Posté par  . Évalué à 4.

      parce que tu demandes à nmap de scanner les ports TCP (option par defaut)
      alors que tu demandes à netstat de ne scanner que les ports UDP (option -u)

      tu peux demander à nmap de scanner aussi les ports UDP (-sU)
      ou à netstat d'afficher les ports TCP et UDP (-antu)

      • [^] # Re: Scan

        Posté par  . Évalué à 1.

        Merci, tu as bien raison.
        Je pensais que nmap scannait en TCP et UDP en même temps.

        Du coup je comprends mieux que BIND puisse basculer en TCP selon les besoins et travailler en UDP en temps normal.

        Merci à tous pour vos interventions.


        bash-3.1# nmap -sU localhost

        Starting Nmap 4.60 ( http://nmap.org ) at 2009-04-26 23:56 GMT
        Interesting ports on localhost (127.0.0.1):
        Not shown: 1485 closed ports
        PORT STATE SERVICE
        53/udp open|filtered domain
        68/udp open|filtered dhcpc
        631/udp open|filtered unknown

        Nmap done: 1 IP address (1 host up) scanned in 1.455 seconds

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.