Существуют ли известные риски, связанные с использованием общедоступного DNS по сравнению с DNS, контролируемым нами или нашими партнерами? Наше решение включает в себя несколько встроенных устройств, поэтому использование Google DNS дало бы нам определенную степень мобильности при развертывании в различных местах, то есть до тех пор, пока у нас есть действующее интернет-соединение, мы обычно сможем подключиться к DNS Google (не всегда верно но обычно).
Учитывая, что я не являюсь экспертом в том, как работает DNS, я могу представить себе что-то вроде
а) Наш маршрутизатор (или другое устройство, действующее как DHCP-сервер) назначает адрес в частной сети через и отправляет новую запись в DNS.
б) Кто-то другой «захватывает» эту запись и указывает на что-то еще за пределами нашего частного NW.
c) В следующий раз, когда что-то в нашей частной сети попытается разрешить имя машины в частной сети, оно будет перенаправлено на вредоносный сервер.
Возможна ли вообще такая атака? Как DNS-сервер устанавливает, что обновления из нашего домена действительно поступают из нашего домена? Я понимаю, что существуют передовые методы работы с самим DNS-сервером, но есть ли какие-либо эквивалентные передовые методы, которым вы должны следовать как клиент?
Примечание. Меня не беспокоит, что Google сможет узнать (они мало что узнают, поскольку мы будем иметь доступ только к нашим собственным службам и вещам, таким как Центр обновления Windows, Azure и т. Д.). Меня больше беспокоит то, что, используя общедоступную службу, мы можем допустить что-то вредоносное со стороны третьей стороны.
Атака, о которой вы обычно думаете, - это отравление кеша, когда злоумышленник может заставить сервер сохранять неверную информацию и перенаправлять законный трафик на конкретный сервер, контролируемый хакерами. Однако эту технику довольно сложно использовать.
Если вы можете контролировать свою зону DNS, вы всегда можете использовать DNSSEC для защиты содержимого ваших зон и обеспечения того, чтобы все было проверено до / после передачи.
Что касается общедоступного DNS-сервера, прошу прощения, но я не понимаю, что он может вам дать, поскольку вы не сможете размещать на нем свои собственные записи. Если вы имеете в виду что-то вроде Amazon Route53, ну ... я думаю, они все еще могут быть захвачены, и вам все равно придется обновлять его по-своему.