Wir sind dabei, unsere Domain- und Hostnames-Datenbank neu zu sortieren. 125 Millionen Hostnamen und IPs wollen sortiert, geprüft und importiert werden. Wir haben uns entschlossen, im Zuge der Überarbeitung einen Snapshot unserer Domainlisten zu veröffentlichen - nach Toplevel-Domains sortiert. Den Anfang mach wir mit der TLD .ch.

Die cc-tld .ch hostet derzeit rund 1,4 Millionen Domains, Serversniffs Domainliste umfasst gut ein Drittel des Bestands, da unsere Crawler nur Domains finden und indizieren, in denen mindestens ein Hostname auflöst und ein Nameserver zugeordnet ist. Viele Domains sind zwar registriert, haben aber keinen zugeordneten A-Record und werden damit von Serversniff komplett ignoriert .
Insgesamt aber umfasst unser Bestand gut eine halbe Million .ch-Domains und ist damit die größte uns bekannte Liste von .ch-domains.

Aktuelle Statistiken über die Schweizer Domainbestände gibts beim schweizer Domainverwalter Switch unter https://www.nic.ch/reg/wcmPage.action?id=b0ec460e-af37-11de-ad7f-b9cfa6b6b3c3... .
Wie die meisten Registrare veröffentlicht auch switch.ch keine komplette Domainlisten bzw. Zonefiles.

Switch unterstützt IDNs und beschränkt Domainnamen auf eine maximale Länge von 63 Zeichen.

Click here to download:

ch_domains_serversniff_2010_02_26_sorted.txt.bz2 (2.2 MB)

Bei DeNic habe ich kürzlich unter dem Namen NaST (NAmeServer-Tester) einen offenbar recht neuen, mir bisher unbekannten DNS-Check gefunden, der einen DNS-Report für beliebige Domains erzeugt und dabei recht ausführliche Checks macht, leider aber nur die Fehler und Probleme anzeigt. Für Administratoren dennoch ein nicht zu unterschätzendes Tool.

Die Ergebnisse selbst sind für mich als Penetrationstester nur mässig relevant. Als Referenz hingegen ist das zumindest für mich Gold wert. Wenn man eine miserable Nameserverkonfiguration beim Kunden vorstellt und dabei auf die von DeNic höchst selbst präsentierten Konfigurationsprobleme verweist, gibts eigentlich kein relevantes Gegenargument mehr.

Was prüft der Check?

Auf Nameserverebene wird z.B geprüft, ob der Nameserver Recursive Queries unterstützt und ob der Server auch per TCP erreichbar ist und ob
Was hier definitiv fehlt ist ein Check auf anonyme Zonetransfers: Nast prüft nicht, ob ein Nameserver anonyme AXFRs erlaubt. In vielen Tests finden wir per AXFR immer wieder Server, die wir eigentlich nicht finden sollten.

Im Zonefile prüft NaST den kompletten SOA-Record mit TTL, Retry etc. wie die meisten von uns das vom seligen DNSReport.com kennnen.
Beim Vergleich von Serversniffs Domainreport  mit Nast ist aufgefallen, dass NaST auch auf Glue-Records prüft, im Gegensatz zu serversniff aber ungültige Glue-Records (also solche, die auf Nameserver ausserhalb der Domain verweisen) schlicht ignoriert.
Ein Beispiel: Serversniff zeigt für die Domain Bund.de alle 5 Glue-Records als gültig an. Logischerweise sind nur 4 davon sinnvoll - der Record für deneb.dfn.de wird üblicherweise ignoriert.

NaST machts korrekt und listet nur relevante Glue-Records:

Schön auch: Im Gegensatz zu Serversniff und den meisten anderen DNS-Checkern unterstützt NaST zumindest ansatzweise IPv6:

Die DeNic verschenkt NaST dankenswerterweise im Quellcode als CLI wie auch als komplette Webapplikation, die von REST bis JSON alle aktuellen Buzz-Standards unterstützt.

Ein kompletter Check sieht so aus:

Fazit: NaST ist aus meiner Sicht aufgrund der Ergebnispräsentation und einiger fehlenden Funktionen sicher nicht der Weisheit allerletzter Schluß, ist aber nicht zuletzt aufgrund der Quellcodeverfügbarkeit eine prima Sache. Danke DeNic!

http://nast.denic.de

Serversniff bleibt zweisprachig. Ich hatte längere Zeit darüber nachgedacht, die deutsche Version komplett aufzugeben - die Zugriffszahlen sowie die nach wie vor spärlich auf deutsch verfügbaren Security-Werkzeugkästen sprechen eine so eindeutige Sprache, dass ich Serversniff.de auch weiterhin zweisprachig anbieten werde. https://beta.serversniff.de wird deutsch lernen.

Thomas