Какие варианты у меня есть для блокировки ответов DNS-запросов, содержащих определенный IP-адрес или диапазон?
Я читаю атаки DNS Rebinding , и мне интересно, как я могу их блокировать.
Когда злоумышленник пытается выполнить повторную атаку, он пытается обмануть браузер, заставив его поверить, что вредоносный контент был 127.0.0.1
получен по адресу или адресу в моей локальной сети. Они делают это путем настройки своего DNS-сервера для обслуживания мошеннического адреса (при запросе из вредоносного скрипта). Я хотел бы предотвратить это, блокируя все ответы на перенаправленные запросы DNS, которые приводят к локальному адресу или адресу локальной сети.
Я использую зону Bind9 для своей локальной сети и использую пересылки для разрешения внешних адресов.
Окно Bind - это сервер Debian за моим маршрутизатором NAT. Он запускает UFW для брандмауэра и позволяет использовать TCP / UDP через порт 53.