公共伺服器上的私有 IP 反向 DNS - 一個壞主意?
這個問題在某種程度上與另一個問題有關,但反過來。
我們使用一個域,其主機名解析為公共 IP,主機名解析為私有 IP。我同意上述問題的答案,即我不認為這是一個安全執行緒。尤其是相對於為這個重要域配置和執行裂腦 DNS 的能力。
因此,我們決定不託管內部 DNS 伺服器,因此不會為內部 IP 設置反向 DNS。現在我發現我可以向我們的 DNS 提供商註冊域“10.in-addr.arpa”。所以理論上我可以在那里托管我的反向 DNS 區域。我可以在所有站點上配置本地記憶體 DNS 伺服器,以在該伺服器上查找對 10.in-addr.arpa 的請求,並使反向 DNS 工作+我們的 DNS 提供商的 API 和介面。
另一方面是公共 DNS 伺服器。所以每個人都要求它,例如 1.0.0.10.in-addr.arpa 會得到我們的本地主機名作為響應。
除了我們願意接受的上述資訊洩漏之外,您是否認為這是一個壞主意。
這算不上問題。
任何正常的搜尋
10.in-addr.arpa.
都將沿著正常鏈從根開始,並最終到達 IANA 的黑洞名稱伺服器。因此,唯一應該到達您的伺服器的對該名稱的查詢是那些專門和故意發送到那裡的查詢。如果有人因此而遇到問題,他們只能怪自己。
我不會這樣做的,我自己。
首先,您要求您的 DNS 提供商為您實際上並不擁有的區域提供服務。你能做到這一點可能只是他們的疏忽,坦率地說,我有點擔心他們不會正確地避免衝突(也就是說,如果他們的另一個客戶有同樣的想法,您最終可能會為記錄而爭吵),否則他們遲早會發現您所做的並禁用該功能。
其次,掃描所有可公開訪問的 DNS 伺服器以查看它們是否認為它們對私有區域具有權威性(SOA 對 、 等的請求)並不
10.in-addr.arpa
難12.172.in-addr.arpa
。我不從事威脅情報工作,所以我不知道是否有人已經這樣做了,但如果他們這樣做了,我不會感到驚訝,因為…一旦您發現給定的 DNS 伺服器正在為給定的反向區域提供服務,列舉該反向區域比列舉正向區域容易得多(從開始
1.0.0.10.in-addr.arpa
並逐步向上),並且您可以獲得更全面的視圖內部網路及其內容,而不是嘗試列舉轉發區域中的通用名稱。當然,這不是一個您可以駕駛卡車穿過的安全漏洞(攻擊者仍然必須弄清楚如何接近機器才能擊中它們),但我覺得能夠列舉一個看似私密的反向區域令人不舒服接近區域傳輸(DNS 伺服器通常不允許)。
您的 DNS 提供商可能能夠提供訪問受限的 DNS 區域(“僅當請求來自這些 IP 地址時才提供此區域”),這將是一種有效的妥協。不過,鑑於執行 DNS 伺服器不是火箭科學,我個人只是在內部拋出一些並完成它。無論如何,您必須將內部解析器配置為指向自定義位置。