raba34
Goto Top

Zonefile aufräumen

Hallo,

ich habe hier ein in vielen Jahren gewachsenes großes Zonefile mit A-Einträgen, die zu Institutionen gehören, die über das ganze Land verteilt sind. Das File hat im Laufe der Zeit immer mehr Eintragungen erhalten, aber es wurde wenig gelöscht, obwohl sich mit Sicherheit im Laufe der Zeit nennenswert viele Einrichtungen andere Adressen zugelegt haben.

Nun möchte ich in Erfahrung bringen, welche Einträge noch genutzt werden, um die Datei aufzuräumen. Alle Institutionen einzeln anzuschreiben, erscheint mir nicht machbar. Mein erster Gedanke war, es mit PING zu probieren. Aber inzwischen habe ich mitbekommen, dass einige Admins ihre Server gegen PING-Anfragen sperren.

So geht es also nicht, aber wie dann? Hinter den Adressen, die mit "www" beginnen, kann man wohl zu Recht Websites erwarten und auf einen offenen Port 80 abfragen. Aber bei den anderen Eintragungen ist nicht klar, weswegen sie zu welchem Zweck eingerichtet wurden, also welcher offene Port zugeordnet wurde.

Sieht hier jemand noch eine andere Möglichkeit, als einen allgemeinen Portscan durchzuführen, der ja rechtlich fragwürdig ist. Aber in diesem speziellen Fall vielleicht noch zulässig, weil er ja einem ganz bestimmten Zweck dient?

Was meint ihr dazu? Es wäre schön, wenn sich Beiträge auf das technische Problem beziehen würden und nicht auf die Frage, wie es denn dazu gekommen ist. face-smile))

Gruß
Ralph

Content-ID: 8038233083

Url: https://administrator.de/contentid/8038233083

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

7907292512
7907292512 03.08.2023 aktualisiert um 10:44:28 Uhr
Goto Top
Wenn keine Doku oder Verträge existieren ...
Dein Zugriffs-Logfile auswerten welche records über einen Zeitraum überhaupt noch durch Clients abgefragt werden und dann daraus die Differenz bilden, diese aussortieren und nach einem weiteren Zeitfenster auskommentieren/entfernen und in der Ablage sichern.

Gruß siddius
raba34
raba34 03.08.2023 um 10:44:37 Uhr
Goto Top
@7907292512 Das geht leider nicht, weil ich nur der Domain-Admin für die Adressen bin, die Inhalte aber auf Servern liegen, an die ich nicht herankomme.
7907292512
7907292512 03.08.2023 aktualisiert um 10:52:22 Uhr
Goto Top
Zitat von @raba34:

@7907292512 Das geht leider nicht, weil ich nur der Domain-Admin für die Adressen bin, die Inhalte aber auf Servern liegen, an die ich nicht herankomme.
Nur das wir uns nicht falsch verstehen, du hast keinen Zugriff auf die DNS-Server-Logfiles auf dem deine Zone liegt? Denn damit lässt sich ja auswerten welche der Adressen überhaupt noch durch Clients/Server abgefragt werden und welche nicht mehr.
raba34
raba34 03.08.2023 um 10:56:51 Uhr
Goto Top
@7907292512 Ich habe gerade mal im syslog nachgesehen. Es gibt viele Zeilen, die vom named protokolliert werden, aber die beziehen sich stets auf Organisatorisches, meist auf Zonetransfer zu secondary und ähnliches. Die Protokollierung von Einzelabfragen habe ich nicht gefunden.

Selbst wenn es gelänge, eine Protokollierung einzuschalten: Es bleibt noch die Unsicherheit, dass Anfragen bei den secondary NS durchgeführt werden (zu denen ich direkt keinen Zugang habe). Und was ist mit den Abfragen bei nonautoritativen Nameservern?
7907292512
7907292512 03.08.2023 aktualisiert um 11:04:25 Uhr
Goto Top
Zitat von @raba34:

@7907292512 Ich habe gerade mal im syslog nachgesehen. Es gibt viele Zeilen, die vom named protokolliert werden, aber die beziehen sich stets auf Organisatorisches, meist auf Zonetransfer zu secondary und ähnliches. Die Protokollierung von Einzelabfragen habe ich nicht gefunden.
Ja das muss man erst aktivieren.
https://nsrc.org/activities/agendas/en/dnssec-3-days/dns/materials/labs/ ...
https://stackoverflow.com/questions/11153958/how-to-enable-named-bind-dn ...
Selbst wenn es gelänge, eine Protokollierung einzuschalten: Es bleibt noch die Unsicherheit, dass Anfragen bei den secondary NS durchgeführt werden (zu denen ich direkt keinen Zugang habe). Und was ist mit den Abfragen bei nonautoritativen Nameservern?
Die müssen sich auch irgendwann auch die Adressen bei euch besorgen und landen im Log mit Eintrag zur Domain, Server fragen ja auch regelmäßig an wenn die TTL der Einträge bei ihnen abgelaufen sind.
raba34
raba34 03.08.2023 um 11:09:13 Uhr
Goto Top
@7907292512 Vielen Dank für den interessanten Hinweis. Für meine Fragestellung wäre wohl der Eintrag

channel query {
            file "/var/log/bind/query" versions 5 size 10M;  
            print-time yes;
            severity info;

der Richtige?

OK für den lokalen primären NS.

Das von mir geschilderte Problem mit Anfragen, die auf anderen Servern landen, ist aber damit nicht gelöst. Denn allein aus dem Fakt, dass secondary NS sich die Zone bei mir holen (was jetzt schon im syslog protokolliert wird) kann ich doch nicht auf die Abfragen bei den secondary und nonautoritativen NS schließen
7907292512
7907292512 03.08.2023 aktualisiert um 11:17:38 Uhr
Goto Top
Zitat von @raba34:
der Richtige?
Jepp.
OK für den lokalen primären NS.

Das von mir geschilderte Problem mit Anfragen, die auf anderen Servern landen, ist aber damit nicht gelöst. Denn allein aus dem Fakt, dass secondary NS sich die Zone bei mir holen (was jetzt schon im syslog protokolliert wird) kann ich doch nicht auf die Abfragen bei den secondary und nonautoritativen NS schließen

Doch wenn keine Anfragen auf bestimmte Records mehr stattfinden fragt sie keiner mehr an und die können dann weg wenn man das über einen Zeitraum beobachtet 3-6 Monate z.B..
raba34
raba34 03.08.2023 um 11:38:33 Uhr
Goto Top
@7907292512 Du meinst also so eine Art statistisches Vorgehen: Mit einer gewissen Wahrscheinlichkeit wird früher oder später eine Anfrage für jede noch aktive Adresse beim primary landen? Man muss nur lange genug warten?
7907292512
7907292512 03.08.2023 aktualisiert um 11:41:50 Uhr
Goto Top
Zitat von @raba34:
Mit einer gewissen Wahrscheinlichkeit wird früher oder später eine Anfrage für jede noch aktive Adresse beim primary landen? Man muss nur lange genug warten?
Wenn zwei Server deine Zone hosten hast dann werte eben die Logs beider aus, ich sehe das Problem hier absolut nicht ...
raba34
raba34 03.08.2023 um 11:44:27 Uhr
Goto Top
@7907292512 Allerdings werden dann auch Namensabfragen registriert für Adressen, bei denen es zwar eine erfolgreiche Namensauflösung gibt, die aber dennoch ins Leere gehen, weil es die dahinter stehenden Inhalte nicht mehr gibt.

Grundsätzlich folgt also aus einer erfolgreichen Namensauflösung nicht, dass alles ok in meinem Sinne ist.
7907292512
7907292512 03.08.2023 aktualisiert um 11:48:32 Uhr
Goto Top
Zitat von @raba34:

@7907292512 Allerdings werden dann auch Namensabfragen registriert für Adressen, bei denen es zwar eine erfolgreiche Namensauflösung gibt, die aber dennoch ins Leere gehen, weil es die dahinter stehenden Inhalte nicht mehr gibt.

Grundsätzlich folgt also aus einer erfolgreichen Namensauflösung nicht, dass alles ok in meinem Sinne ist.

Das wirst du dann nicht ohne Kunden-Anfrage lösen können, könnte ja nur sein das der Server des Kunden gerade in Wartung ist etc. pp Muss ja auch kein Inhalt dahinter stehen könnte ja auch nur ein Dienst sein der nur auf bestimmte Pakete antwortet da bringt dir dann auch kein nmap und Port-Scan weiter.
raba34
raba34 03.08.2023 aktualisiert um 12:03:11 Uhr
Goto Top
@7907292512 Letztlich läuft das darauf hinaus, dass ein fehlerfreies Bereinigen der Zonedatei nicht möglich ist. Jedenfalls wenn sie in einem solchen Zustand ist.

Ich kann sie auch so lassen wie sie ist, aber "less is more". finde ich jedenfalls face-smile
7907292512
7907292512 03.08.2023 aktualisiert um 12:29:52 Uhr
Goto Top
Was mich bedenklich stimmt das wenn das File so groß ist, was da für ein Sauladen dahinter steckt das Domains für so viele Kunden hostet und hier nichts dokumentiert hat??
Ich würde da so ran gehen das ich alles für das es keine Doku gibt erst mal aussortiere. Für diese Untermenge dann einen Log-Vergleich vornehme und dann schon mal die nicht mehr auftauchenden raus schmeiße. Für den Rest der dann noch übrig bleibt mit verschiedenen Methoden abarbeiten (nmap/whois-Abfrage) wenn Zeit da ist, und dann bei Zweifel auskommentieren und die Beschwerde abwarten, wenn keine mehr kommt weg damit face-wink. Ist halt Arbeit, aber so is das nunmal wenn man sich die Doku gespart hat.

Wenn doch alle Dokumentiert sind, Rundmail mit automatisierten Bestätigungsabfragen (PHP/individual Links mit Indentifikation) an die Institutionen schicken dann hat man das in einem annehmbaren Zeitrahmen bereinigt.
raba34
raba34 04.08.2023 um 10:31:33 Uhr
Goto Top
Ich denke, ich habe jetzt die Richtung, in die ich vorgehen muss.

Zum "Sauladen" (der Ausdruck bezieht sich, wie leicht zu erkennen ist, nicht unmittelbar auf das Problem):

Trotzdem dazu ein Hinweis: Die Zone wurde vor vielen Jahren eingerichtet und gemeinnützige oder vergleichbare Einrichtungen bekamen gerade in der ersten Zeit schnell, unbürokratisch und kostenfrei die gewünschten Eintragungen.

Durch die Weiterentwicklung es Internets haben sich viele still und heimlich davongeschlichen und sich speziellere Namen gesucht. Das blieb mangels Fehlermeldung meist unbemerkt.