3

Какие варианты у меня есть для блокировки ответов DNS-запросов, содержащих определенный IP-адрес или диапазон?

Я читаю атаки DNS Rebinding, и мне интересно, как я могу их блокировать.

Когда злоумышленник пытается выполнить повторную атаку, он пытается обмануть браузер, заставив его поверить, что вредоносный контент был получен с 127.0.0.1 или с адреса в моей локальной сети. Они делают это, настраивая свой DNS-сервер для обслуживания мошеннического адреса (при запросе из вредоносного скрипта). Я хотел бы предотвратить это, блокируя все ответы на перенаправленные запросы DNS, которые приводят к локальному адресу или адресу локальной сети.

Я использую зону Bind9 для своей локальной сети и использую пересылки для разрешения внешних адресов.

Окно Bind - это сервер Debian за моим маршрутизатором NAT. Он запускает UFW для брандмауэра и позволяет использовать TCP/UDP через порт 53.

1 ответ1

0

Можно заставить Bind фильтровать адреса, возвращенные с помощью функции deny-answer-addresses . Чтобы использовать это, добавьте следующее в раздел options вашего конфигурационного файла /etc/bind/named.conf.options :

deny-answer-addresses { 192.0.2.0/24; } except-from { "example.net"; };

Это предотвратит возвращение любого адреса 192.0.2.x в ответ на любой запрос DNS, за исключением локально размещенного домена example.net .

Руководство Bind также рекомендует фильтровать псевдонимы с помощью:

deny-answer-aliases { "example.net"; };

Предлагаемый набор фильтров, который я нашел по адресу http://www.sput.nl/internet/dns-morons.html, по- видимому, охватывает наиболее распространенные атаки повторного связывания DNS, основанные на моем собственном тестировании:

deny-answer-addresses {
    // Unconfigured
    0.0.0.0;
    // RFC 1918
    10.0.0.0/8;
    172.16.0.0/12;
    192.168.0.0/16;
    // RFC 3927
    169.254.0.0/16;
    // IPv6
    // :: to ::ffff:ffff:ffff.
    // Includes ::, ::1, IPv4-Compatible IPv6 Addresses ::/96,
    // and IPv4-mapped IPv6 addresses ::ffff:0:0/96
    ::/80;
    // IPv6 Link local
    fe80::/10;
    // RFC 6052
    64:ff9b::/96;
} except-from { "Your.Domain"; };
deny-answer-aliases { "Your.Domain"; };

Вероятно, не стоит исключать 127.0.0.0/8 как он часто используется такими службами, как списки спама.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .