我正在阅读有关Google 新公共 DNS 服务的一些说明:
我在安全部分注意到这一段:
在普遍实施针对 DNS 漏洞的标准全系统解决方案(例如 DNSSEC2 协议)之前,开放式 DNS 解析器需要独立采取一些措施来缓解已知威胁。已经提出了许多技术;请参阅IETF RFC 4542:使 DNS 更能抵御伪造答案的措施,以了解其中大部分内容的概述。在 Google 公共 DNS 中,我们已实施并推荐以下方法:
- 过度配置机器资源以防止对解析器本身的直接 DoS 攻击。由于 IP 地址对于攻击者来说是微不足道的,因此无法阻止基于 IP 地址或子网的查询;处理此类攻击的唯一有效方法是简单地吸收负载。
这是一个令人沮丧的认识;即使在堆栈溢出/服务器故障/超级用户上,我们也经常使用 IP 地址作为各种禁止和阻止的基础。
认为一个“有才华”的攻击者可以随便使用他们想要的任何IP地址,并合成尽可能多的唯一假IP地址,真是太可怕了!
所以我的问题:
在我正在构建的网站上,我计划记录提交的 IP 地址,以防万一。我不介意代理,但完全欺骗您的 IP 地址会破坏目的。
要执行完整的 GET 操作,(无论您是否收到或是否通过)是否需要合法的 IP 地址?或者某个网站被随机伪造 IP 地址的帖子发送垃圾邮件?
(POST 有什么不同吗?)
我正在尝试在ebtables 中创建IP-MAC配对规则。可用的教程和相关问题 [1] 很少,但我有一些特定的设置。
环境: 我有很多物理主机。每个主机都有很少的以太网卡,以绑定方式加入并用作桥接器的从属设备。每个主机上有很多虚拟机(kvm、qemu、libvirt)。每个虚拟机都通过名为 vnet[0-9]+ 的新端口连接到其物理主机的网桥。没有 NAT。网络工作正常,所有物理主机都可以 ping 通,所有虚拟机也可以。每个虚拟机都有自己的 IP 地址和 MAC 地址。
问题:在虚拟机内部,IP 地址可以更改为另一个。
找到的解决方案:在 ebtables 站点 [2] 上有已知的解决方案,但是当仅使用一台主机时,此解决方案适用。它允许所有流量,如果来自 IP 的数据包的 MAC 不是允许的,则数据包将被丢弃。如果有多个主机,则需要在所有主机上注册所有现有的 IP-MAC 对。需要逆向策略解决方案。
精心设计的解决方案:我试图以相反的方式使用 ebtables。这是我尝试过的示例。
例 1
Bridge table: filter
Bridge chain: INPUT, entries: 2, policy: DROP
-i bond0 -j ACCEPT
-p IPv4 -s 54:52:0:98:d7:b6 --ip-src 192.168.11.122 -j ACCEPT
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
例2
Bridge table: …在我的一些需要在 LAN 外部访问的生产系统上,我有时会在边缘添加防火墙限制,以仅允许来自特定源 IP 地址或块的 RDP 上的流量。当然,IP 需要是静态的(或者我需要在它发生变化时更新它),但我的问题是,作为防止攻击者访问该系统的一种手段,这有多可靠?在 RDP(最常见)的情况下,仍然存在用户名/密码身份验证,但是依赖这些基于 IP 的防火墙限制是一个坏主意吗?
我最初的想法是 IP 欺骗在拒绝服务中更有用,当您并不真正关心数据包返回到发起者时,但在获得更高的访问权限方面,攻击者真的那么容易吗?欺骗他的 IP并以某种方式将数据包路由回他的真实地址?
我在 Linux 上的 Apache 网络服务器被对不存在文件的大量请求所淹没。直接影响是访问和错误日志的快速增长。我已经通过不记录这些请求(如果它与特定字符串匹配)来解决这个问题。我们谈论的是每秒来自多个 IP 地址的40 到 50 个请求(对于同一个文件)。
我最初认为它是一个僵尸网络,但我相信它是一些欺骗源 IP 的脚本小子。我在服务器上运行 iptables,我想知道这些数据包是如何绕过 TCP/IP 初始握手到达应用层(HTTP 服务器)的?如果我有:
--Default Policy for INPUT chain is to DROP
<snip>
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
<...>
<snip>
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
...我的服务器响应的 SYN/ACK 不应该在初始连接请求之后发送到欺骗的 ip 吗?并因此失去了?如果数据包是精心制作的,似乎来自已建立的连接,netfilter 的状态跟踪机制是否应该处理这个问题(通过上面的 RELATED,ESTABLISHED 行)并将它们识别为不是已建立会话的一部分,因此删除它们(通过默认策略:DROP)?
提前致谢,克拉科尼亚
pd 请求来自有效的互联网地址。
是否有一种可靠的方法来拒绝带有欺骗性电子邮件地址的传入邮件?
postfix 对传入的邮件正常运行什么样的检查?
感谢您的帮助。
今天早上我发现我们的域和子域已经在 4.2.2 和 4.2.2.1 DNS 服务器以及我认为的其他服务器上中毒,尽管我还没有确认其他服务器。使用 OpenDNS 解析工作正常。我已经更新了我们的本地 DNS 服务器并清除了它们的缓存,这些缓存已经在内部修复了一些问题。
问题是该域是面向公众的,而客户遇到了问题。我们是域的权威 DNS 服务器,所有一切都在我们的控制之下。我不知道该怎么做是修复我们无法控制的名称服务器。
我们有什么可以做的吗?目前我能想到的唯一解决方法是要求客户将他们的 DNS 更改为 OpenDNS,这不太实用。另一种解决方法是更改我们的 TLD,这不太实用。
我有一个服务器应用程序,我正在运行生产和开发的两个实例,即:
prod.example.com (10.0.0.1)
dev.example.com (10.0.0.2)
第三方编写了一个客户端应用程序,该应用程序已被硬编码为指向prod.example.com. 但是,我希望将这些请求发送到dev.example.com服务器,而我无权访问第三方源代码。
我有访问(临时)连接到LAN的客户端和服务器上,所以我可以使用运行dnsmasq至决心prod.example.com来10.0.0.2,此时我的工作已经完成,客户端应用程序将是(不知不觉中)谈论到开发服务器(或所以我认为)。
我已经将以下配置添加到dnsmasq.conf..
address=/prod.example.com/10.0.0.2
..它确实有效,但它具有阻止所有其他域解析的副作用。
我怎样才能拥有我的蛋糕并吃掉它?
所以我在一份新工作中,他们对他们的网络、硬件和操作系统安全性非常严格。:-( 我是一名 Web 开发人员,但我被迫使用 IE7 进行开发,仅仅是因为他们不希望任何人安装样板操作系统以外的任何东西。任何 Web 开发人员都知道这一点,当然 - 你可以“通过“ 像这样开发——尽管这很麻烦——大多数时候。但有时,你需要一个或两个额外的程序来查看发送/接收的请求,看看你的客户端(浏览器)是如何与服务器。我在我的个人笔记本电脑上安装了我想要的所有程序,但它没有被授权连接到公司网络。
现在我不是网络专家,但我有这样的想法:如果我可以在我的个人笔记本电脑上欺骗我的工作台式机的 MAC 地址和 IP 地址,拔掉我的台式机,然后将我的笔记本电脑插入网络,我不应该能够连接?但它似乎不起作用。网络如何“知道”任何事情都发生了变化?我认为 MAC 地址是在您请求并被分配 IP 地址后在网络上识别您的唯一“事物”。
编辑:顺便说一句,我已经权衡了在工作中“遇到麻烦”的风险,所以不需要提醒我它“可能违反了网络政策”等。我已经知道了!我真正的问题不是,“你能告诉我怎么做吗”,而是,“为什么这不起作用,因为我显然对网络的运作方式有一些误解。” :-)
我收到从我自己的域发送到我自己的域的垃圾邮件。我正在使用 Exchange 2013。
例子:
myemail@mydomain.com被用来向myemail@mydomain.com发送垃圾邮件。
我可以通过从任何外部 IP 远程登录到服务器来成功复制问题。
telnet <external-ip-of-server> 25
helo anydomain.com
250 myserver.mydomain.com Hello [External-IP]
mail from:myemail@mydomain.com
250 2.1.0 Sender OK
rcpt to:myemail@mydomain.com
250 2.1.5 Recipient OK
data
354 Start mail input; end with <CRLF>.<CRLF>
some text here
.
250 2.6.0 <f64fd0bdf5c2460087b95c3ab343ef80@myserver.mydomain.com> [InternalId=20890720927751, Hostname=myserver.mydomain.com] Queued mail for delivery
我有一个像这样的 SPF 记录设置: v=spf1 ip4:External.IP.of.MyServer -all
我还在 Exchange 2013 服务器上启用了 SenderID,如下所示:
[PS] C:\Windows\system32>get-senderidconfig | fl
RunspaceId : 9be45249-1186-42b4-9e4e-3bc5a56c0c63
SpoofedDomainAction : Reject
TempErrorAction : StampStatus
BypassedRecipients : {} …spoofing ×10
ip-address ×3
ip ×2
networking ×2
security ×2
apache-2.2 ×1
bridge ×1
dnsmasq ×1
email ×1
filter ×1
firewall ×1
http ×1
iptables ×1
linux ×1
mac-address ×1
postfix ×1
routing ×1
spam ×1