Предполагая, что вы хотите создать поддомен, который указывает на частное местоположение (возможно, местоположение базы данных или IP-адрес компьютера, на который вы не хотите, чтобы люди пытались использовать SSH), вы добавляете запись DNS с именем что-то как это:
private-AGhR9xJPF4.example.com
Будет ли это «скрыто» для всех, кроме тех, кто знает точный URI субдомена? Или есть какой-нибудь способ «перечислить» все зарегистрированные поддомены определенного домена?
domain-name-system
security
subdomain
IQAndreas
источник
источник
Ответы:
Есть ли какой-нибудь запрос «список поддоменов» для DNS?
Для этой конкретной цели нет запроса, но есть несколько косвенных методов.
AXFR). Большинство операторов серверов блокируют передачу зон на конкретные IP-адреса, чтобы не перехватывать сторонние организации.NSECзапросы могут использоваться для обхода зоны .NSEC3был реализован для того, чтобы сделать прогулку по зонам более вычислительной.Есть также хитрость, которая позволит кому-то узнать, существует ли произвольный поддомен.
В приведенном выше примере
wwwлежит внутриsub. Запрос дляsub.example.com IN Aне вернет раздел ANSWER, но код результата будет NOERROR, а не NXDOMAIN, что свидетельствует о существовании записей ниже по дереву. (только не то, что названы эти записи)Следует ли полагаться на секретность записей DNS?
Нет . Единственный способ надежно скрыть данные от клиента - убедиться, что он никогда не сможет получить данные с самого начала. Предположим, что наличие ваших записей DNS будет распространяться среди тех, кто имеет к ним доступ, либо из уст в уста, либо путем наблюдения за пакетами.
Если вы пытаетесь скрыть записи от маршрутизируемого DNS-клиента, вы делаете это неправильно ™ . Убедитесь, что данные доступны только тем средам, которые в них нуждаются. (т. е. используйте частные маршрутизируемые домены для частных IP-адресов). Даже если у вас настроено такое разделение, предположите, что знание IP-адресов будет распространяться в любом случае.
Внимание к безопасности должно быть сосредоточено на том, что происходит, когда кто-то получает IP-адрес, потому что это произойдет.
Я знаю, что список причин, по которым секретность IP-адресов является несбыточной мечтой, может быть расширен в дальнейшем. Сканирование IP, социальная инженерия ... список бесконечен, и я в основном сосредоточен на аспектах протокола DNS этого вопроса. В конце концов, все это попадает под один и тот же зонт: кто-то собирается получить ваш IP-адрес .
источник
По-разному.
Ответ Эндрю Б. точен, когда вы регистрируете поддомен в общедоступной зоне DNS, где также размещаются записи MX вашей компании и общедоступный веб-сайт.
У большинства компаний будет внутренний DNS-сервер, недоступный публично, где вы будете регистрировать имена хостов для своих внутренних ( секретных ) хостов.
Рекомендуемый метод - зарегистрировать выделенный домен для внутреннего использования или, в качестве альтернативы, создать поддомен в основном домене для внутреннего использования.
Но технически вы также используете свой основной домен, создавая внутреннее представление своего домена, где в зависимости от происхождения DNS-клиента будет видна альтернативная версия зоны DNS.
источник