14
Zonefile aufräumen
Hallo,
ich habe hier ein in vielen Jahren gewachsenes großes Zonefile mit A-Einträgen, die zu Institutionen gehören, die über das ganze Land verteilt sind. Das File hat im Laufe der Zeit immer mehr Eintragungen erhalten, aber es wurde wenig gelöscht, obwohl sich mit Sicherheit im Laufe der Zeit nennenswert viele Einrichtungen andere Adressen zugelegt haben.
Nun möchte ich in Erfahrung bringen, welche Einträge noch genutzt werden, um die Datei aufzuräumen. Alle Institutionen einzeln anzuschreiben, erscheint mir nicht machbar. Mein erster Gedanke war, es mit PING zu probieren. Aber inzwischen habe ich mitbekommen, dass einige Admins ihre Server gegen PING-Anfragen sperren.
So geht es also nicht, aber wie dann? Hinter den Adressen, die mit "www" beginnen, kann man wohl zu Recht Websites erwarten und auf einen offenen Port 80 abfragen. Aber bei den anderen Eintragungen ist nicht klar, weswegen sie zu welchem Zweck eingerichtet wurden, also welcher offene Port zugeordnet wurde.
Sieht hier jemand noch eine andere Möglichkeit, als einen allgemeinen Portscan durchzuführen, der ja rechtlich fragwürdig ist. Aber in diesem speziellen Fall vielleicht noch zulässig, weil er ja einem ganz bestimmten Zweck dient?
Was meint ihr dazu? Es wäre schön, wenn sich Beiträge auf das technische Problem beziehen würden und nicht auf die Frage, wie es denn dazu gekommen ist.
))
Gruß
Ralph
ich habe hier ein in vielen Jahren gewachsenes großes Zonefile mit A-Einträgen, die zu Institutionen gehören, die über das ganze Land verteilt sind. Das File hat im Laufe der Zeit immer mehr Eintragungen erhalten, aber es wurde wenig gelöscht, obwohl sich mit Sicherheit im Laufe der Zeit nennenswert viele Einrichtungen andere Adressen zugelegt haben.
Nun möchte ich in Erfahrung bringen, welche Einträge noch genutzt werden, um die Datei aufzuräumen. Alle Institutionen einzeln anzuschreiben, erscheint mir nicht machbar. Mein erster Gedanke war, es mit PING zu probieren. Aber inzwischen habe ich mitbekommen, dass einige Admins ihre Server gegen PING-Anfragen sperren.
So geht es also nicht, aber wie dann? Hinter den Adressen, die mit "www" beginnen, kann man wohl zu Recht Websites erwarten und auf einen offenen Port 80 abfragen. Aber bei den anderen Eintragungen ist nicht klar, weswegen sie zu welchem Zweck eingerichtet wurden, also welcher offene Port zugeordnet wurde.
Sieht hier jemand noch eine andere Möglichkeit, als einen allgemeinen Portscan durchzuführen, der ja rechtlich fragwürdig ist. Aber in diesem speziellen Fall vielleicht noch zulässig, weil er ja einem ganz bestimmten Zweck dient?
Was meint ihr dazu? Es wäre schön, wenn sich Beiträge auf das technische Problem beziehen würden und nicht auf die Frage, wie es denn dazu gekommen ist.
))Gruß
Ralph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8038233083
Url: https://administrator.de/contentid/8038233083
Printed on: April 27, 2024 at 07:04 o'clock
14 Comments
Latest comment
Wenn keine Doku oder Verträge existieren ...
Dein Zugriffs-Logfile auswerten welche records über einen Zeitraum überhaupt noch durch Clients abgefragt werden und dann daraus die Differenz bilden, diese aussortieren und nach einem weiteren Zeitfenster auskommentieren/entfernen und in der Ablage sichern.
Gruß siddius
Dein Zugriffs-Logfile auswerten welche records über einen Zeitraum überhaupt noch durch Clients abgefragt werden und dann daraus die Differenz bilden, diese aussortieren und nach einem weiteren Zeitfenster auskommentieren/entfernen und in der Ablage sichern.
Gruß siddius
@7907292512 Das geht leider nicht, weil ich nur der Domain-Admin für die Adressen bin, die Inhalte aber auf Servern liegen, an die ich nicht herankomme.
Zitat von @raba34:
@7907292512 Das geht leider nicht, weil ich nur der Domain-Admin für die Adressen bin, die Inhalte aber auf Servern liegen, an die ich nicht herankomme.
Nur das wir uns nicht falsch verstehen, du hast keinen Zugriff auf die DNS-Server-Logfiles auf dem deine Zone liegt? Denn damit lässt sich ja auswerten welche der Adressen überhaupt noch durch Clients/Server abgefragt werden und welche nicht mehr.@7907292512 Das geht leider nicht, weil ich nur der Domain-Admin für die Adressen bin, die Inhalte aber auf Servern liegen, an die ich nicht herankomme.
@7907292512 Ich habe gerade mal im syslog nachgesehen. Es gibt viele Zeilen, die vom named protokolliert werden, aber die beziehen sich stets auf Organisatorisches, meist auf Zonetransfer zu secondary und ähnliches. Die Protokollierung von Einzelabfragen habe ich nicht gefunden.
Selbst wenn es gelänge, eine Protokollierung einzuschalten: Es bleibt noch die Unsicherheit, dass Anfragen bei den secondary NS durchgeführt werden (zu denen ich direkt keinen Zugang habe). Und was ist mit den Abfragen bei nonautoritativen Nameservern?
Selbst wenn es gelänge, eine Protokollierung einzuschalten: Es bleibt noch die Unsicherheit, dass Anfragen bei den secondary NS durchgeführt werden (zu denen ich direkt keinen Zugang habe). Und was ist mit den Abfragen bei nonautoritativen Nameservern?
Zitat von @raba34:
@7907292512 Ich habe gerade mal im syslog nachgesehen. Es gibt viele Zeilen, die vom named protokolliert werden, aber die beziehen sich stets auf Organisatorisches, meist auf Zonetransfer zu secondary und ähnliches. Die Protokollierung von Einzelabfragen habe ich nicht gefunden.
Ja das muss man erst aktivieren.@7907292512 Ich habe gerade mal im syslog nachgesehen. Es gibt viele Zeilen, die vom named protokolliert werden, aber die beziehen sich stets auf Organisatorisches, meist auf Zonetransfer zu secondary und ähnliches. Die Protokollierung von Einzelabfragen habe ich nicht gefunden.
https://nsrc.org/activities/agendas/en/dnssec-3-days/dns/materials/labs/ ...
https://stackoverflow.com/questions/11153958/how-to-enable-named-bind-dn ...
Selbst wenn es gelänge, eine Protokollierung einzuschalten: Es bleibt noch die Unsicherheit, dass Anfragen bei den secondary NS durchgeführt werden (zu denen ich direkt keinen Zugang habe). Und was ist mit den Abfragen bei nonautoritativen Nameservern?
Die müssen sich auch irgendwann auch die Adressen bei euch besorgen und landen im Log mit Eintrag zur Domain, Server fragen ja auch regelmäßig an wenn die TTL der Einträge bei ihnen abgelaufen sind.
@7907292512 Vielen Dank für den interessanten Hinweis. Für meine Fragestellung wäre wohl der Eintrag
der Richtige?
OK für den lokalen primären NS.
Das von mir geschilderte Problem mit Anfragen, die auf anderen Servern landen, ist aber damit nicht gelöst. Denn allein aus dem Fakt, dass secondary NS sich die Zone bei mir holen (was jetzt schon im syslog protokolliert wird) kann ich doch nicht auf die Abfragen bei den secondary und nonautoritativen NS schließen
channel query {
file "/var/log/bind/query" versions 5 size 10M;
print-time yes;
severity info;der Richtige?
OK für den lokalen primären NS.
Das von mir geschilderte Problem mit Anfragen, die auf anderen Servern landen, ist aber damit nicht gelöst. Denn allein aus dem Fakt, dass secondary NS sich die Zone bei mir holen (was jetzt schon im syslog protokolliert wird) kann ich doch nicht auf die Abfragen bei den secondary und nonautoritativen NS schließen
Jepp.
Doch wenn keine Anfragen auf bestimmte Records mehr stattfinden fragt sie keiner mehr an und die können dann weg wenn man das über einen Zeitraum beobachtet 3-6 Monate z.B..
OK für den lokalen primären NS.
Das von mir geschilderte Problem mit Anfragen, die auf anderen Servern landen, ist aber damit nicht gelöst. Denn allein aus dem Fakt, dass secondary NS sich die Zone bei mir holen (was jetzt schon im syslog protokolliert wird) kann ich doch nicht auf die Abfragen bei den secondary und nonautoritativen NS schließen
Das von mir geschilderte Problem mit Anfragen, die auf anderen Servern landen, ist aber damit nicht gelöst. Denn allein aus dem Fakt, dass secondary NS sich die Zone bei mir holen (was jetzt schon im syslog protokolliert wird) kann ich doch nicht auf die Abfragen bei den secondary und nonautoritativen NS schließen
Doch wenn keine Anfragen auf bestimmte Records mehr stattfinden fragt sie keiner mehr an und die können dann weg wenn man das über einen Zeitraum beobachtet 3-6 Monate z.B..
@7907292512 Du meinst also so eine Art statistisches Vorgehen: Mit einer gewissen Wahrscheinlichkeit wird früher oder später eine Anfrage für jede noch aktive Adresse beim primary landen? Man muss nur lange genug warten?
Zitat von @raba34:
Mit einer gewissen Wahrscheinlichkeit wird früher oder später eine Anfrage für jede noch aktive Adresse beim primary landen? Man muss nur lange genug warten?
Wenn zwei Server deine Zone hosten hast dann werte eben die Logs beider aus, ich sehe das Problem hier absolut nicht ...Mit einer gewissen Wahrscheinlichkeit wird früher oder später eine Anfrage für jede noch aktive Adresse beim primary landen? Man muss nur lange genug warten?
@7907292512 Allerdings werden dann auch Namensabfragen registriert für Adressen, bei denen es zwar eine erfolgreiche Namensauflösung gibt, die aber dennoch ins Leere gehen, weil es die dahinter stehenden Inhalte nicht mehr gibt.
Grundsätzlich folgt also aus einer erfolgreichen Namensauflösung nicht, dass alles ok in meinem Sinne ist.
Grundsätzlich folgt also aus einer erfolgreichen Namensauflösung nicht, dass alles ok in meinem Sinne ist.
Zitat von @raba34:
@7907292512 Allerdings werden dann auch Namensabfragen registriert für Adressen, bei denen es zwar eine erfolgreiche Namensauflösung gibt, die aber dennoch ins Leere gehen, weil es die dahinter stehenden Inhalte nicht mehr gibt.
Grundsätzlich folgt also aus einer erfolgreichen Namensauflösung nicht, dass alles ok in meinem Sinne ist.
@7907292512 Allerdings werden dann auch Namensabfragen registriert für Adressen, bei denen es zwar eine erfolgreiche Namensauflösung gibt, die aber dennoch ins Leere gehen, weil es die dahinter stehenden Inhalte nicht mehr gibt.
Grundsätzlich folgt also aus einer erfolgreichen Namensauflösung nicht, dass alles ok in meinem Sinne ist.
Das wirst du dann nicht ohne Kunden-Anfrage lösen können, könnte ja nur sein das der Server des Kunden gerade in Wartung ist etc. pp Muss ja auch kein Inhalt dahinter stehen könnte ja auch nur ein Dienst sein der nur auf bestimmte Pakete antwortet da bringt dir dann auch kein nmap und Port-Scan weiter.
@7907292512 Letztlich läuft das darauf hinaus, dass ein fehlerfreies Bereinigen der Zonedatei nicht möglich ist. Jedenfalls wenn sie in einem solchen Zustand ist.
Ich kann sie auch so lassen wie sie ist, aber "less is more". finde ich jedenfalls
Ich kann sie auch so lassen wie sie ist, aber "less is more". finde ich jedenfalls
Was mich bedenklich stimmt das wenn das File so groß ist, was da für ein Sauladen dahinter steckt das Domains für so viele Kunden hostet und hier nichts dokumentiert hat??
Ich würde da so ran gehen das ich alles für das es keine Doku gibt erst mal aussortiere. Für diese Untermenge dann einen Log-Vergleich vornehme und dann schon mal die nicht mehr auftauchenden raus schmeiße. Für den Rest der dann noch übrig bleibt mit verschiedenen Methoden abarbeiten (nmap/whois-Abfrage) wenn Zeit da ist, und dann bei Zweifel auskommentieren und die Beschwerde abwarten, wenn keine mehr kommt weg damit
. Ist halt Arbeit, aber so is das nunmal wenn man sich die Doku gespart hat.
Wenn doch alle Dokumentiert sind, Rundmail mit automatisierten Bestätigungsabfragen (PHP/individual Links mit Indentifikation) an die Institutionen schicken dann hat man das in einem annehmbaren Zeitrahmen bereinigt.
Ich würde da so ran gehen das ich alles für das es keine Doku gibt erst mal aussortiere. Für diese Untermenge dann einen Log-Vergleich vornehme und dann schon mal die nicht mehr auftauchenden raus schmeiße. Für den Rest der dann noch übrig bleibt mit verschiedenen Methoden abarbeiten (nmap/whois-Abfrage) wenn Zeit da ist, und dann bei Zweifel auskommentieren und die Beschwerde abwarten, wenn keine mehr kommt weg damit
. Ist halt Arbeit, aber so is das nunmal wenn man sich die Doku gespart hat.Wenn doch alle Dokumentiert sind, Rundmail mit automatisierten Bestätigungsabfragen (PHP/individual Links mit Indentifikation) an die Institutionen schicken dann hat man das in einem annehmbaren Zeitrahmen bereinigt.
Ich denke, ich habe jetzt die Richtung, in die ich vorgehen muss.
Zum "Sauladen" (der Ausdruck bezieht sich, wie leicht zu erkennen ist, nicht unmittelbar auf das Problem):
Trotzdem dazu ein Hinweis: Die Zone wurde vor vielen Jahren eingerichtet und gemeinnützige oder vergleichbare Einrichtungen bekamen gerade in der ersten Zeit schnell, unbürokratisch und kostenfrei die gewünschten Eintragungen.
Durch die Weiterentwicklung es Internets haben sich viele still und heimlich davongeschlichen und sich speziellere Namen gesucht. Das blieb mangels Fehlermeldung meist unbemerkt.
Zum "Sauladen" (der Ausdruck bezieht sich, wie leicht zu erkennen ist, nicht unmittelbar auf das Problem):
Trotzdem dazu ein Hinweis: Die Zone wurde vor vielen Jahren eingerichtet und gemeinnützige oder vergleichbare Einrichtungen bekamen gerade in der ersten Zeit schnell, unbürokratisch und kostenfrei die gewünschten Eintragungen.
Durch die Weiterentwicklung es Internets haben sich viele still und heimlich davongeschlichen und sich speziellere Namen gesucht. Das blieb mangels Fehlermeldung meist unbemerkt.