Mein Router erkennt falsch einen DNS-Rebind-Angriff

1087
user740250

Ich habe einen Router, auf dem die neueste Version von Advanced Tomato ausgeführt wird. Der Versuch, mithilfe meines Domänennamens (im Gegensatz zu meiner IP-Adresse) auf einen Server in meinem Heimnetzwerk (dasselbe Netzwerk wie der betreffende Router) zuzugreifen, schlägt fehl und ich erhalte die folgende Warnung in meinen Routerprotokollen:

Jun 19 20:45:13 unknown daemon.warn dnsmasq[3844]: possible DNS-rebind attack detected: <domain_name>

Durch Deaktivieren des DNS-Rebind-Schutzes im Router wird das Problem behoben. Kann ich dieses Problem beheben, ohne den DNS-Rebind-Schutz zu deaktivieren?

0
Versuchen Sie nicht, innerhalb des LANs über die WAN-Adresse auf Ihr LAN zuzugreifen, da der Router dadurch verwirrt wird. Ƭᴇcʜιᴇ007 vor 6 Jahren 2
Es ist jedoch viel bequemer, nur einen einzigen Satz Lesezeichen zu haben! (Mein Anwendungsfall greift auf verschiedene Dienste an verschiedenen Ports zu, daher sind Lesezeichen erforderlich.) user740250 vor 6 Jahren 0
Sie können eine lokale Hostdatei auf Ihren Computern innerhalb des LAN einrichten, um die private IP-Adresse anstelle der öffentlichen IP-Adresse zu verwenden. Sie können dann weiterhin Ihre Lesezeichen verwenden. David vor 6 Jahren 0

1 Antwort auf die Frage

1
Huygens

Ihr Tomato-Router verwendet dnsmaq zum Auflösen von DNS-Abfragen (um sie tatsächlich an einen Resolver weiterzuleiten, aber stört mich nicht).

dnsmasq hat einen eingebauten Schutz, den Sie herausfinden. Es verbietet dem Upstream-Resolver, private IP-Adressen zurückzugeben. Sie können dies jedoch nur für Ihren Anwendungsfall --rebind-*korrigieren, indem Sie eine der Optionen in dnsmasq (siehe Manpage) verwenden. Auszug:

--rebind-localhost-ok Exempt 127.0.0.0/8 from rebinding checks. This address range is returned by realtime black hole servers, so blocking it may disable these services.  --rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/] Do not detect and block dns-rebind on queries to these domains. The argument may be either a single domain, or multiple domains surrounded by '/', like the --server syntax, eg. --rebind-domain-ok=/domain1/domain2/domain3/

In Ihrem Fall sollten Sie die Option in Betracht ziehen --rebind-domain-ok=/domain_name/( domain_namedurch Ihren Domänennamen ersetzen ).

Verwandte Probleme