<div dir="ltr"><div>Thanks, <br><br></div>now picture is crystal clear to me thanks for your time and support .<br><br><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 17, 2015 at 11:47 AM, Albert ARIBAUD <span dir="ltr"><<a href="mailto:albert.aribaud@free.fr" target="_blank">albert.aribaud@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Bonjour @shuToSH,<br>
<br>
Le Fri, 17 Jul 2015 10:34:11 +0530, "@shuToSH Ch@tURveDI"<br>
<<a href="mailto:ashutosh.chaturvedi.31@gmail.com">ashutosh.chaturvedi.31@gmail.com</a>> a écrit :<br>
<span class=""><br>
> as per link i shared they mention<br>
><br>
><br>
> in step 3<br>
> "To test the vulnerability, we will check your server for a DNS record it<br>
> should not have. If a result is returned, then the info was pulled by your<br>
> server from another DNS server and is open to this vulnerability."<br>
><br>
> yes as i checked capture packet its like my WAN sending some dns query to<br>
</span>> out internet for <a href="http://1and1.com" rel="noreferrer" target="_blank">1and1.com</a> and getting result,<br>
<span class="">> so on what bases i should reject this result.<br>
<br>
</span>The test is for a server hosted in 1and1 and queried from outside its<br>
LAN.<br>
<br>
>From what you said, your server is placed in a LAN and queried from<br>
the same LAN. Therefore it is *not* a 1and1 hosted server and *not*<br>
queried from outside its LAN.<br>
<br>
Therefore the test you are trying to apply is meaningless to you. It<br>
is meaningful *only* to 1and1 customers.<br>
<br>
You are worried that when you do step3 of this test, you see traffic<br>
between your server and the Internet. Actually, this is perfectly<br>
normal and if it did not happen, then your server would not function.<br>
Here's why:<br>
<br>
>From the LAN, you ask your server to tell you the IP address of<br>
<a href="http://1and1.com" rel="noreferrer" target="_blank">1and1.com</a>. Your server looks in its own records. If it has a recent<br>
enough record for the IP address of <a href="http://1and1.com" rel="noreferrer" target="_blank">1and1.com</a>, it will return it to<br>
you. If the record is outdated or does not exist, your server will go<br>
and ask its upstream server(s) for the IP address of <a href="http://1and1.com" rel="noreferrer" target="_blank">1and1.com</a>. Once it<br>
gets the answer, it stores it in its own records and then sends it back<br>
to you.<br>
<br>
Your server only holds a certain number of records, and purges them<br>
when they get too old, so even if it has <a href="http://1and1.com" rel="noreferrer" target="_blank">1and1.com</a> in its records at<br>
some point, later it will purge it and it woll go to the Internet next<br>
time you ask for it.<br>
<br>
And to ask your upstream server(s) and get the answer back, your own<br>
server *must* send queries and receive answers through the Internet.<br>
*That* is what you see. If it did not happen, your  server would not be<br>
able to resolve any query other than for your local network.<br>
<br>
This Internet traffic is *normal* and *unrelated to DNS amplification*.<br>
<br>
This is an example of why it is important not to apply a test that was<br>
not designed for your case.<br>
<br>
This below is a test which you can apply to your case:<br>
<br>
- if your server cannot be queried from the Internet and only talks<br>
  on the Internet to its upstream server(s), then it *cannot* be used<br>
  for DNS amplicifation attacks, and that's the end of the test. If your<br>
  server can be queried from the Internet, then proceed to next item<br>
  below.<br>
<br>
- if your server can be queried from the Internet but is not a name<br>
  server for a domain you manage, then it is misconfigured and you must<br>
  reconfigure it to make it unreachable from the Internet, so that it<br>
  *cannot* be used for DNS amplicifation attacks any more, and that's<br>
  the end of the test. If your server is a name server for a domain you<br>
  manage, then proceed to next item below.<br>
<br>
- if your server is the name server for a domain you manage, then it<br>
  *has* to answer queries from the Internet, and therefore it should be<br>
  protected against being used for DNS ampification attacks. From a<br>
  dnsmasq user's standpoint, this is basically done by always using the<br>
  latest version of dnsmasq (and configuring the server properly with<br>
  respect to the documentation).<br>
<div class="HOEnZb"><div class="h5"><br>
> Thanks,<br>
> AS<br>
<br>
Amicalement,<br>
--<br>
Albert.<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><br><b><span style="font-size:9.0pt;font-family:"Arial","sans-serif";color:#1f497d"><a href="http://www.teamf1.com" target="_blank"><span style="color:blue"></span></a></span></b></div></div></div></div>
</div></div>