Назад | Перейти на главную страницу

Фильтрация внешних доменов, разрешающих внутренние IP-адреса

Я занимаюсь защитой от атак повторного связывания DNS глубоко. Естественно, используя HTTPS и убедившись, что что-нибудь еще подтверждает Хост header хорошо защищает от атак повторного связывания DNS, но я действительно чувствую, что это то, что можно остановить, так сказать.

Для тех, кто не в курсе, простая атака повторного связывания DNS - это когда DNS-сервер возвращает две записи для домена, один допустимый внешний IP-адрес и один внутренний IP-адрес (существуют более сложные атаки). Используя пару уловок, вы можете заставить браузер отправлять внутренние HTTP-запросы и извлекать ответы.

Я ожидал, что фильтрация внутренних IP-адресов из внешних DNS-ответов уже должна быть по умолчанию или, по крайней мере, что-то, что можно сделать. Но я много погуглил и не могу найти никакой информации о настройке этого с помощью Windows DNS Server.

Кажется, что другие DNS-серверы, такие как BIND, легко справляются с этим.

Могу ли я отфильтровать или заблокировать внешние DNS-ответы, содержащие внутренний IP-адрес, с помощью Microsoft DNS?

(ps: я здесь новичок, дайте мне знать, если это не подходящий сайт стека для этого вопроса).

Самая близкая вещь в Windows (без сторонних) - это DNS-фильтры, но он будет доступен только на сервере 2016.

Вы можете либо обратиться к сторонним DNS-серверам, как вы предложили, либо вместо этого используйте какой-нибудь метод обнаружения.