我正在研究如何防范 DNS 重新绑定攻击深入。当然,使用 HTTPS 并确保其他一切都验证主持人标头在防止 DNS 重新绑定攻击方面做得很好,但我真的觉得这是一种可以被阻止的攻击,可以这么说。
对于那些不知道的人来说,简单的 DNS 重新绑定攻击是指 DNS 服务器为一个域返回两个记录,一个合法的外部 IP 和一个内部 IP(还有更高级的攻击)。使用一些技巧,您可以让浏览器发送内部 HTTP 请求并窃取响应。
我原本以为从外部 DNS 响应中过滤掉内部 IP 应该已经是默认设置,或者至少是可以做到的。但我在 Google 上搜索了很久,找不到任何关于使用 Windows DNS 服务器配置此功能的信息。
似乎其他 DNS 服务器(例如 BIND)可以轻松处理这个问题。
有没有什么办法可以使用 Microsoft DNS 过滤掉或阻止包含内部 IP 地址的外部 DNS 响应?
(附言:我是新来的,如果这不是适合这个问题的堆栈站点,请告诉我)。
答案1
Windows 中最接近的(无第三方)是 DNS 过滤器,但是仅在服务器 2016 中可用。
您可以按照您的建议使用第三方 DNS 服务器,或者使用一些检测方法。