DNS บันทึกข้อมูลส่วนตัวหรือไม่

สมมติว่าคุณต้องการสร้างโดเมนย่อยที่ชี้ไปยังตำแหน่งส่วนตัว (อาจเป็นที่ตั้งของฐานข้อมูลหรือที่อยู่ IP ของคอมพิวเตอร์ที่คุณไม่ต้องการให้ผู้อื่นลองใช้ SSH) ดังนั้นคุณจึงเพิ่มระเบียน DNS ชื่อบางอย่าง แบบนี้:

private-AGhR9xJPF4.example.com

สิ่งนี้จะ "ซ่อน" ให้กับทุกคนยกเว้นผู้ที่รู้ว่า URI ที่แท้จริงของพวกซับแมนหรือไม่? หรือมีวิธี "รายการ" โดเมนย่อยที่ลงทะเบียนทั้งหมดของโดเมนเฉพาะหรือไม่

domain-name-system security subdomain

— IQAndreas
แหล่งที่มา

หากคุณไม่ต้องการให้เป็นที่รู้จักหรือค้นพบสาเหตุที่คุณจะสร้างระเบียน DNS สำหรับข้อมูลนั้นตั้งแต่แรก

— joeqwerty

@joeqwerty หากเซิร์ฟเวอร์ใช้ IP แบบไดนามิกหรือหากฉันต้องการเปลี่ยน IP เป้าหมายในภายหลังฉันต้องการให้แอปพลิเคชันใด ๆ ที่เชื่อมต่อกับเซิร์ฟเวอร์นั้นทำงานต่อไปโดยไม่มีการดัดแปลง

— IQAndreas

ฉันแน่ใจว่านี่เป็นคำตอบของคำถามอื่นที่อื่น แต่ฉันไม่พบมันด้วยการค้นหา

— Andrew B

โปรดทราบว่ามีคนร้ายมากมายสแกนพื้นที่ IP ทั้งหมดสำหรับคอมพิวเตอร์ที่พวกเขาสามารถเข้า SSH ได้ หากสามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะคุณจะได้รับผู้คนต่อสู้บนพอร์ต SSH

— pjc50

ทางออกที่แท้จริงสำหรับปัญหาของคุณคือไฟร์วอลล์และ VPN

— josh3736

คำตอบ:

มีคำค้นหา "รายชื่อโดเมนย่อย" สำหรับ DNS หรือไม่

ไม่มีการสืบค้นสำหรับวัตถุประสงค์เฉพาะนี้ แต่มีวิธีการทางอ้อมไม่กี่วิธี

การถ่ายโอนโซนที่ไม่เพิ่มขึ้น ( AXFR) ผู้ให้บริการเซิร์ฟเวอร์ส่วนใหญ่ล็อคการถ่ายโอนโซนไปยังที่อยู่ IP ที่เฉพาะเจาะจงเพื่อป้องกันไม่ให้กลุ่มที่ไม่ใช่ บริษัท ในเครือสอดแนม
หาก DNSSEC ถูกเปิดใช้งานซ้ำNSECร้องขอสามารถใช้ในการเดินโซน NSEC3ถูกนำไปใช้เพื่อทำให้การเดินโซนเป็นไปอย่างเข้มงวดยิ่งขึ้น

นอกจากนี้ยังมีเคล็ดลับที่จะทำให้ใครบางคนรู้ว่ามีโดเมนย่อยตามอำเภอใจอยู่หรือไม่

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

ในตัวอย่างข้างต้นอยู่ภายในwww subแบบสอบถามsub.example.com IN Aจะไม่ส่งคืนส่วนคำตอบ แต่รหัสผลลัพธ์จะเป็น NOERROR แทนที่จะเป็น NXDOMAIN ซึ่งเป็นการทรยศต่อการมีอยู่ของเร็กคอร์ดที่เพิ่มเติมลงไปที่ต้นไม้ (ไม่ใช่ชื่อบันทึกเหล่านั้น)

ควรรักษาความลับของระเบียน DNS ไว้หรือไม่

ไม่ได้วิธีเดียวที่จะซ่อนข้อมูลจากไคลเอนต์ได้อย่างน่าเชื่อถือคือการทำให้มั่นใจว่าจะไม่สามารถรับข้อมูลได้ สมมติว่าการมีอยู่ของระเบียน DNS ของคุณจะถูกเผยแพร่ในหมู่ผู้ที่สามารถเข้าถึงได้ไม่ว่าจะด้วยคำพูดจากปากหรือโดยการสังเกตแพ็คเก็ต

ถ้าคุณกำลังพยายามที่จะซ่อนบันทึกจากไคลเอนต์ DNS routable, คุณกำลังทำมันผิด™ ตรวจสอบให้แน่ใจว่าข้อมูลเปิดเผยเฉพาะกับสภาพแวดล้อมที่ต้องการ (เช่นใช้โดเมนที่กำหนดเส้นทางเป็นการส่วนตัวสำหรับ IP ส่วนตัว) แม้ว่าคุณจะมีการตั้งค่าส่วนดังกล่าวสมมติว่าความรู้เกี่ยวกับที่อยู่ IP นั้นจะถูกกระจายไปทั่ว

การเน้นเรื่องความปลอดภัยควรเป็นสิ่งที่เกิดขึ้นเมื่อมีคนได้รับที่อยู่ IP เพราะมันจะเกิดขึ้น

ฉันทราบว่ารายการเหตุผลสำหรับที่อยู่ IP เป็นความลับที่เป็นความฝันของท่อสามารถขยายเพิ่มเติมได้ การสแกน IP, วิศวกรรมสังคม ... รายการไม่มีที่สิ้นสุดและฉันส่วนใหญ่มุ่งเน้นไปที่ด้านโปรโตคอล DNS ของคำถามนี้ ในตอนท้ายของวันที่มันทั้งหมดตกอยู่ภายใต้ร่มเดียวกัน: คนที่จะได้รับที่อยู่ IP ของคุณ

— แอนดรูข
แหล่งที่มา

มันขึ้นอยู่กับ.

คำตอบของ Andrew B เป็นจุดเมื่อคุณลงทะเบียนโดเมนย่อยในโซน DNS สาธารณะซึ่งยังเป็นเจ้าภาพระเบียน MX บริษัท และเว็บไซต์สาธารณะเช่น

บริษัท ส่วนใหญ่จะมีเซิร์ฟเวอร์ DNS ภายในซึ่งไม่สามารถให้บริการแบบสาธารณะซึ่งคุณจะต้องลงทะเบียนชื่อโฮสต์สำหรับโฮสต์ภายใน ( ความลับ ) ของคุณ

วิธีที่แนะนำคือการลงทะเบียนโดเมนเฉพาะสำหรับใช้ภายในหรือสร้างโดเมนย่อยในโดเมนหลักของคุณเพื่อใช้ภายใน

แต่ในทางเทคนิคคุณยังใช้โดเมนหลักของคุณด้วยการสร้างมุมมองภายในบนโดเมนของคุณซึ่งขึ้นอยู่กับที่มาของไคลเอนต์ DNS โซน DNS รุ่นอื่นจะสามารถมองเห็นได้

— HBruijn
แหล่งที่มา