Я занимаюсь защитой от атак повторного связывания DNS глубоко. Естественно, используя HTTPS и убедившись, что что-нибудь еще подтверждает Хост header хорошо защищает от атак повторного связывания DNS, но я действительно чувствую, что это то, что можно остановить, так сказать.
Для тех, кто не в курсе, простая атака повторного связывания DNS - это когда DNS-сервер возвращает две записи для домена, один допустимый внешний IP-адрес и один внутренний IP-адрес (существуют более сложные атаки). Используя пару уловок, вы можете заставить браузер отправлять внутренние HTTP-запросы и извлекать ответы.
Я ожидал, что фильтрация внутренних IP-адресов из внешних DNS-ответов уже должна быть по умолчанию или, по крайней мере, что-то, что можно сделать. Но я много погуглил и не могу найти никакой информации о настройке этого с помощью Windows DNS Server.
Кажется, что другие DNS-серверы, такие как BIND, легко справляются с этим.
Могу ли я отфильтровать или заблокировать внешние DNS-ответы, содержащие внутренний IP-адрес, с помощью Microsoft DNS?
(ps: я здесь новичок, дайте мне знать, если это не подходящий сайт стека для этого вопроса).
Самая близкая вещь в Windows (без сторонних) - это DNS-фильтры, но он будет доступен только на сервере 2016.
Вы можете либо обратиться к сторонним DNS-серверам, как вы предложили, либо вместо этого используйте какой-нибудь метод обнаружения.