主页 / ubuntu / 问题 / 869333
Accepted
anx
Asked: 2017-01-08 21:19:13 +0800 CST

如何防止对我的开发机器的 dns 重新绑定攻击?

  • 772

我将我的 Ubuntu 14.04 和 16.04 笔记本用于开发目的,并定期在无法从 Internet 访问的网络地址上运行各种服务器(例如 Web 服务器)。

如果有人将他的域名重新绑定到私有 IP,我如何避免仍然通过我的网络浏览器向世界公开这些服务器?

该攻击在 https://en.wikipedia.org/wiki/DNS_rebinding中有进一步描述

14.04

1 个回答

  1. Best Answer

    Ubuntu 默认dnsmasq为缓存 DNS 服务器。

    您可以检查您是否受到影响(某些 dns 服务器默认启用了此类保护,因此通过您当前的连接,您可能已经安全了)

    $ dig +short 2.0.0.127.zen.spamhaus.org
127.0.0.10

    安装dnsmasq将自动设置您的 /etc/resolv.conf 以将所有名称解析指向本地 dnsmasq 实例。

    sudo apt-get install dnsmasq

    可以轻松添加拒绝来自上游服务器的私有 IP 的选项:

    echo "stop-dns-debind" | sudo tee /etc/dnsmasq.d/stop-rebinding

    更改选项后不要忘记重新启动 DNS 服务器:

    sudo restart dnsmasq

    测试配置如上,不应返回 127.0.0.0/8 答案。

    请参阅 dnsmasq 手册,以防您的机器出于任何原因实际上需要查询 RBL(例如上面测试中提到的那个) - 可以部分免除保护。

    • 1

相关问题