DNS는 개인 정보를 기록합니까?


17

개인 위치 (아마도 데이터베이스의 위치 또는 사람들이 SSH를 시도하지 않으려는 컴퓨터의 IP 주소)를 가리키는 하위 도메인을 생성하려고한다고 가정하면 무언가라는 DNS 레코드를 추가합니다 이처럼 :

private-AGhR9xJPF4.example.com

하위 역할에 대한 정확한 URI를 알고있는 사람을 제외한 모든 사람에게 이것이 "숨겨져"있습니까? 또는 특정 도메인의 등록 된 모든 하위 도메인을 "목록"하는 방법이 있습니까?


알고 싶지 않거나 발견되지 않으려면 먼저 왜 DNS 레코드를 작성해야합니까?
joeqwerty

1
@joeqwerty 서버가 동적 IP를 사용하거나 나중에 대상 IP를 변경하려는 경우 해당 서버에 연결된 모든 응용 프로그램이 수정없이 계속 작동하기를 원합니다.
IQAndreas

나는 이것이 어딘가에 다른 질문에 대답했다고 확신하지만 검색으로는 찾을 수 없습니다.
Andrew B

15
SSH를 사용할 수있는 컴퓨터의 전체 IP 공간을 스캔하는 나쁜 사람이 많이 있습니다. 공용 인터넷에서 접근 할 수 있으면 사람들이 SSH 포트를 사용하게됩니다.
pjc50

1
문제의 실제 해결책은 방화벽과 VPN입니다.
josh3736

답변:


29

DNS에 대한 일종의 "하위 도메인 목록"쿼리가 있습니까?

이 특정 목적에 대한 쿼리는 없지만 몇 가지 간접적 인 방법이 있습니다.

  • 비 증분 영역 전송 ( AXFR) 대부분의 서버 운영자는 특정 IP 주소로 영역 전송을 잠 가서 관계없는 당사자가 스누핑하지 않도록합니다.
  • DNSSEC가 활성화 된 경우 반복 NSEC요청을 사용 하여 영역 을 탐색 할 수 있습니다 . NSEC3영역 보행을보다 계산 집약적으로 만들기 위해 구현되었습니다.

임의의 하위 도메인이 존재하는 경우 누군가에게 알려주는 트릭도 있습니다.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

위의 예에서 www안에 sub있습니다. 에 대한 쿼리 sub.example.com IN A는 ANSWER 섹션을 반환하지 않지만 결과 코드는 NXDOMAIN 대신 NOERROR가되어 트리 아래로 레코드의 존재를 배신합니다. (그 레코드의 이름이 아닌)

DNS 레코드의 비밀에 의존해야합니까?

아니요 . 클라이언트에서 데이터를 안정적으로 숨기는 유일한 방법은 데이터를 시작할 수 없도록하는 것입니다. DNS 레코드의 존재는 입소문이나 패킷 관찰을 통해 액세스 할 수있는 모든 사람에게 전파 될 것이라고 가정하십시오.

라우팅 가능한 DNS 클라이언트에서 레코드를 숨기려고하는 경우 잘못된 작업 입니다. 데이터가 필요한 환경에만 노출되어 있는지 확인하십시오. (즉, 개인 IP에 개인 라우팅 된 도메인 사용) 이러한 부서가 설정되어 있어도 IP 주소에 대한 지식이 어쨌든 널리 퍼져 있다고 가정하십시오.

보안에 중점을 두어야 할 이유는 누군가 IP 주소를 얻을 때 발생할 수있는 일에 대한 것입니다.


IP 주소 보안이 파이프 드림 인 이유 목록이 더 확장 될 수 있음을 알고 있습니다. IP 스캐닝, 사회 공학 ...이 목록은 끝이 없으며 주로이 질문의 DNS 프로토콜 측면에 중점을 둡니다. 하루가 끝날 무렵 모두 동일한 우산 아래에있게됩니다. 누군가 IP 주소를 얻습니다 .


3

때에 따라 다르지.

Andrew B의 답변은 공개 MX 영역에 하위 도메인을 등록하면 회사 MX 레코드 및 공개 웹 사이트도 호스팅합니다.

대부분의 회사에는 내부 ( 비밀 ) 호스트 의 호스트 이름을 등록 할 경우 공개적으로 사용할 수없는 내부 DNS 서버가 있습니다.

권장되는 방법은 내부 용으로 전용 도메인을 등록하거나 내부 용으로 기본 도메인에 하위 도메인을 만드는 것입니다.

그러나 기술적으로는 도메인에 내부보기를 만들어 기본 도메인을 사용하는데, DNS 클라이언트의 출처에 따라 대체 버전의 DNS 영역이 표시됩니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.