Какие варианты у меня есть для блокировки ответов DNS-запросов, содержащих определенный IP-адрес или диапазон?
Я читаю атаки DNS Rebinding , и мне интересно, как я могу их блокировать.
Когда злоумышленник пытается выполнить повторную атаку, он пытается обмануть браузер, заставив его поверить, что вредоносный контент был 127.0.0.1
получен по адресу или адресу в моей локальной сети. Они делают это путем настройки своего DNS-сервера для обслуживания мошеннического адреса (при запросе из вредоносного скрипта). Я хотел бы предотвратить это, блокируя все ответы на перенаправленные запросы DNS, которые приводят к локальному адресу или адресу локальной сети.
Я использую зону Bind9 для своей локальной сети и использую пересылки для разрешения внешних адресов.
Окно Bind - это сервер Debian за моим маршрутизатором NAT. Он запускает UFW для брандмауэра и позволяет использовать TCP / UDP через порт 53.
Ответы:
Есть возможность получить Bind для фильтрации адресов, возвращаемых с помощью этой
deny-answer-addresses
функции. Чтобы использовать это, добавьте следующее вoptions
раздел вашего/etc/bind/named.conf.options
файла конфигурации:Это предотвратит возвращение любого адреса 192.0.2.x в ответ на любой запрос DNS, кроме как из локально размещенного
example.net
домена.Руководство Bind также рекомендует фильтровать псевдонимы с помощью:
Предлагаемый набор фильтров, который я нашел по адресу http://www.sput.nl/internet/dns-morons.html, по- видимому, охватывает наиболее распространенные атаки повторного связывания DNS, основанные на моем собственном тестировании:
Вероятно, это не очень хорошая идея для исключения,
127.0.0.0/8
поскольку она часто используется такими службами, как списки спама.источник