IQA*_*eas 22 security domain-name-system subdomain
假设您想创建一个指向私有位置的子域(可能是数据库的位置,或者您不希望人们尝试通过 SSH 连接的计算机的 IP 地址),因此您添加了一个名为 something 的 DNS 记录像这样:
private-AGhR9xJPF4.example.com
除了知道子域的确切 URI 的人之外,这是否会“隐藏”给所有人?或者,是否有某种方法可以“列出”特定域的所有注册子域?
And*_*w B 34
没有针对此特定目的的查询,但有一些间接方法。
AXFR)。大多数服务器运营商将区域传输锁定到特定 IP 地址,以防止非关联方窥探。NSEC则可以使用迭代请求来遍历区域。NSEC3实施是为了使区域行走在计算上更加密集。还有一个技巧可以让某人知道是否存在任意子域。
example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2
在上面的例子中,www位于 内sub。查询sub.example.com IN A不会返回 ANSWER 部分,但结果代码将是 NOERROR 而不是 NXDOMAIN,这表明树更下方的记录存在。(只是不是这些记录的名称)
不。向客户端可靠地隐藏数据的唯一方法是确保它永远无法获取数据。假设您的 DNS 记录的存在将通过口耳相传或通过观察数据包在有权访问它们的任何人之间传播。
如果您试图从可路由的 DNS 客户端隐藏记录,您就做错了™。确保数据只暴露给需要它的环境。(即对私有 IP 使用私有路由域)即使您设置了这样的部门,也假设 IP 地址的知识无论如何都会传播。
安全性的重点应该放在某人获得 IP 地址时会发生什么,因为它会发生。
我知道 IP 地址保密成为白日梦的原因列表可以进一步扩展。IP 扫描、社会工程……这个列表是无穷无尽的,我主要关注这个问题的 DNS 协议方面。归根结底,这一切都归于同一个保护伞:有人会获取您的 IP 地址。