Welche Möglichkeiten habe ich, um DNS-Abfrageantworten mit einer bestimmten IP-Adresse oder einem bestimmten Bereich zu blockieren?
Ich lese über DNS-Rebinding-Angriffe nach und überlege, wie ich sie blockieren könnte.
Wenn ein Angreifer einen erneuten Angriff versucht, versucht er, den Browser dahingehend zu täuschen, dass der schädliche Inhalt von 127.0.0.1
oder von einer Adresse in meinem LAN bereitgestellt wurde. Sie konfigurieren dazu ihren DNS-Server so, dass die betrügerische Adresse angezeigt wird (wenn sie innerhalb des böswilligen Skripts abgefragt wird). Ich möchte dies verhindern, indem ich alle Antworten auf weitergeleitete DNS-Abfragen blockiere, die zu einer lokalen oder LAN-Adresse führen.
Ich verwende eine Bind9-Zone für mein lokales Netzwerk und verwende Weiterleitungen, um externe Adressen aufzulösen.
Die Bind-Box ist ein Debian-Server hinter meinem NAT-Router. Es führt UFW für die Firewall aus und ermöglicht TCP / UDP über Port 53.
Antworten:
Es ist möglich, Bind zu erhalten, um die mit dieser Funktion zurückgegebenen Adressen zu filtern
deny-answer-addresses
. Um dies zu verwenden, fügen Sie demoptions
Abschnitt Ihrer/etc/bind/named.conf.options
Konfigurationsdatei Folgendes hinzu :Dadurch wird verhindert, dass eine 192.0.2.x-Adresse als Antwort auf eine DNS-Abfrage zurückgegeben wird, mit Ausnahme der lokal gehosteten
example.net
Domäne.Das Bind-Handbuch empfiehlt auch das Filtern von Aliasen mit:
Eine vorgeschlagene Reihe von Filtern, die ich unter http://www.sput.nl/internet/dns-morons.html gefunden habe, scheint die häufigsten DNS-Rebinding-Angriffe zu behandeln, die auf meinen eigenen Tests beruhen:
Das Ausschließen
127.0.0.0/8
ist wahrscheinlich keine gute Idee, da es häufig von Diensten wie Spam-Sperrlisten verwendet wird.quelle