运维开发网

域名系统 – 面向公众的权威奴隶的隐藏主隐身DNS服务器的曝光

运维开发网 https://www.qedev.com 2020-04-03 16:05 出处:网络 作者:运维开发网整理
在典型的隐藏主DNS网络布局中,基本上有两个组件: >隐藏的主DNS服务器,可能在NAT或防火墙后面,或者完全暴露 >从属权威非递归DNS服务器 从DNS服务器上的区域文件通常不会(也不应该)向此隐藏的主DNS服务器提供信息.但是这些相同的从DNS服务器确实需要使用某些DNS选项,如服务器,允许更新,允许传输和一些ACL. 虽然起初,那些所需的服务器和允许更新似乎需要IP地址匹配列表.这使得nam
在典型的隐藏主DNS网络布局中,基本上有两个组件:

>隐藏的主DNS服务器,可能在NAT或防火墙后面,或者完全暴露

>从属权威非递归DNS服务器

从DNS服务器上的区域文件通常不会(也不应该)向此隐藏的主DNS服务器提供信息.但是这些相同的从DNS服务器确实需要使用某些DNS选项,如服务器,允许更新,允许传输和一些ACL.

虽然起初,那些所需的服务器和允许更新似乎需要IP地址匹配列表.这使得named.conf成为此类隐秘信息的主要来源(即隐藏主站的IP地址).

是否可以通过使用密钥而不使用named.conf文件中的任何IP地址来进一步限制IP地址暴露给隐藏主DNS服务器?

我正在寻找的关键答案是我们是否可以最大限度地减少隐藏主机在其配置文件级别以及区域数据库中的暴露程度.

Zone files on slave DNS servers often do not (and should not) have information to this hidden master DNS server.

他们可以在区域文件中包含A记录以指向此隐藏的DNS主服务器.服务器被称为“隐藏”,不是因为没有人能够知道它,而是因为它没有在任何地方使用NS记录列出,因此客户端无法查询它们.

编辑:尝试避免从配置文件中对此隐藏主服务器的所有引用都没有意义.一旦有人访问此文件,它就会假定他们无论如何都可以访问您的服务器,然后这听起来比他们知道隐藏主服务器的IP地址更大的问题.

But these same slave DNS servers do require the use of certain DNS options like server, allow-update, allow-transfer, and some ACLs.

从DNS服务器确实需要知道隐藏的DNS服务器的存在.可以仅使用键定义主服务器,然后在allow-notify etc语句中引用这些主服务器.这样您就不需要指定隐藏主服务器的IP地址.

服务器语句如下所示:

server <netprefix> {
   ...
};

因此,它需要隐藏主设备的IP地址.

然而,似乎允许更新,允许传输等语句需要一个address_match_list(BIND 9.11.4-P1文档,第51页):

(…) is a list of one or more ip_addr, ip_prefix, key_id, or acl_name elements, see section 6.1.

因此,您只能在这些命令中输入密钥,不包括隐藏主服务器的IP地址.

0

精彩评论

暂无评论...
验证码 换一张
取 消