Какие варианты у меня есть для блокировки ответов DNS-запросов, содержащих определенный IP-адрес или диапазон?
Я читаю атаки DNS Rebinding, и мне интересно, как я могу их блокировать.
Когда злоумышленник пытается выполнить повторную атаку, он пытается обмануть браузер, заставив его поверить, что вредоносный контент был получен с 127.0.0.1
или с адреса в моей локальной сети. Они делают это, настраивая свой DNS-сервер для обслуживания мошеннического адреса (при запросе из вредоносного скрипта). Я хотел бы предотвратить это, блокируя все ответы на перенаправленные запросы DNS, которые приводят к локальному адресу или адресу локальной сети.
Я использую зону Bind9 для своей локальной сети и использую пересылки для разрешения внешних адресов.
Окно Bind - это сервер Debian за моим маршрутизатором NAT. Он запускает UFW для брандмауэра и позволяет использовать TCP/UDP через порт 53.