Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Inzicht in dns verzoeken
12-12-2020, 21:09 door Anoniem, 19 reacties
Ik kan de webverzoeken voor mijn domein monitoren, ik kan tcpdumpen op mijn server om te kijken wie er allemaal aankloppen op de verschillende tcp/udp poorten. Maar hoe krijg ik inzicht in domeinnaam bevragingen (DNS verzoeken) voor mijn domeinnaam? De vraag "waarom zou je dat willen" snap ik maar kan ik hier lastig uitleggen.
Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Reacties (19)
Of er DNS hosters zijn die het voor je willen doen - dns queries rapporteren - weet ik niet .
Ik verwacht het niet zo snel - het kan voor populaire domeinen een heel grote bak met data zijn, en ik verwacht dat er weinig vraag is naar zoiets als managed service.
Degenen die het willen (of nodig hebben, zoals CDNs) hosten hun DNS dan gewoon zelf.
Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .
De meeste registries eisen twee DNS servers. Eén extra VPSje (of twee, als je het nu zonder eigen server doet) kost je de kop niet.
Als je tevreden bent met een steekproef van queries kun je je ook beperken tot het zelf runnen van één DNS server - je ziet dan 1/<aantal NS records van je domein> van het aantal queries.
(met wat caveats dat resolvers een voorkeur bijhouden voor de 'beste' authoritieve server voor een domain . Je 'meet' server op een brak thuislijntje hosten geeft je dan geen 1/<N> steekproef maar een kleiner percentage. )
In tegenstelling tot MX (en SRV) records kun je geen prioriteit instellen bij de NS records .
Waarom is het 'waarom' trouwens lastig uitleggen ?
Gegarandeerd is je idee of reden al lang door iemand gedaan . Prima - goed om ook te doen, leer je veel van,maar echt niet geheim/nieuw/baanbrekend/onontdekt . En mocht je doel ook op een andere/makkelijkers manier bereikt kunnen worden , redelijke kans dat iemand je een tip kan geven.
Ik verwacht het niet zo snel - het kan voor populaire domeinen een heel grote bak met data zijn, en ik verwacht dat er weinig vraag is naar zoiets als managed service.
Degenen die het willen (of nodig hebben, zoals CDNs) hosten hun DNS dan gewoon zelf.
Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .
De meeste registries eisen twee DNS servers. Eén extra VPSje (of twee, als je het nu zonder eigen server doet) kost je de kop niet.
Als je tevreden bent met een steekproef van queries kun je je ook beperken tot het zelf runnen van één DNS server - je ziet dan 1/<aantal NS records van je domein> van het aantal queries.
(met wat caveats dat resolvers een voorkeur bijhouden voor de 'beste' authoritieve server voor een domain . Je 'meet' server op een brak thuislijntje hosten geeft je dan geen 1/<N> steekproef maar een kleiner percentage. )
In tegenstelling tot MX (en SRV) records kun je geen prioriteit instellen bij de NS records .
Waarom is het 'waarom' trouwens lastig uitleggen ?
Gegarandeerd is je idee of reden al lang door iemand gedaan . Prima - goed om ook te doen, leer je veel van,maar echt niet geheim/nieuw/baanbrekend/onontdekt . En mocht je doel ook op een andere/makkelijkers manier bereikt kunnen worden , redelijke kans dat iemand je een tip kan geven.
12-12-2020, 23:55 door
MathFox
Door Anoniem: Ik kan de webverzoeken voor mijn domein monitoren, ik kan tcpdumpen op mijn server om te kijken wie er allemaal aankloppen op de verschillende tcp/udp poorten. Maar hoe krijg ik inzicht in domeinnaam bevragingen (DNS verzoeken) voor mijn domeinnaam? De vraag "waarom zou je dat willen" snap ik maar kan ik hier lastig uitleggen.
Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Als de partij via wie je je domein geregistreerd hebt het toestaat (en de grote name registrars laten dat allemaal toe) kun je je eigen zone beheren en je eigen authoritive DNS servers draaien. Ja, servers; een backup server bij een andere ISP dan de hoofdserver is het gevraagde minimum.Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
De bekendste DNS server heet 'bind', maar ik weet niet in hoeverre de logging opties geschikt zijn voor jouw toepassing. Een ander punt is dat het DNS protocol heel licht is (UDP-request/reply) waardoor reguest logging een aanzienlijke verzwaring van de processor load kan betekenen.
12-12-2020, 23:56 door
Briolet
Zelf een DNS server runnen die je domein beheert. Alle verzoeken kun je dan loggen. Maar dan nog zul je er veel missen omdat er veel uit caches gehaald wordt bij de DNS servers die de info bij jouw server ophalen.
Door Briolet: Zelf een DNS server runnen die je domein beheert. Alle verzoeken kun je dan loggen. Maar dan nog zul je er veel missen omdat er veel uit caches gehaald wordt bij de DNS servers die de info bij jouw server ophalen.
Klopt.
Wat je wel kunt doen is TTL van het record extreem laag zetten, zodat niets wordt gecached (in theorie).
Waarom het ‘waarom’ niet uitgelegd kan worden blijft bij mij een raadsel. Wat is er nu zo geheim aan?
Of heeft OP iets nieuws ontdekt dat nog niet bekend gemaakt mag worden, maar valt of staat met (oa.) inzicht in DNS verzoeken?
Of heeft OP iets nieuws ontdekt dat nog niet bekend gemaakt mag worden, maar valt of staat met (oa.) inzicht in DNS verzoeken?
Door Briolet: Zelf een DNS server runnen die je domein beheert. Alle verzoeken kun je dan loggen. Maar dan nog zul je er veel missen omdat er veel uit caches gehaald wordt bij de DNS servers die de info bij jouw server ophalen.
+1
13-12-2020, 12:27 door
MathFox
Door Anoniem: Waarom het ‘waarom’ niet uitgelegd kan worden blijft bij mij een raadsel. Wat is er nu zo geheim aan?
Of heeft OP iets nieuws ontdekt dat nog niet bekend gemaakt mag worden, maar valt of staat met (oa.) inzicht in DNS verzoeken?
Ik herinner me https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability maar ik hoop dat onze topic starter daar geen misbruik van gaat maken.Of heeft OP iets nieuws ontdekt dat nog niet bekend gemaakt mag worden, maar valt of staat met (oa.) inzicht in DNS verzoeken?
13-12-2020, 16:10 door
Tintin and Milou
Door Anoniem: Ik kan de webverzoeken voor mijn domein monitoren, ik kan tcpdumpen op mijn server om te kijken wie er allemaal aankloppen op de verschillende tcp/udp poorten. Maar hoe krijg ik inzicht in domeinnaam bevragingen (DNS verzoeken) voor mijn domeinnaam? De vraag "waarom zou je dat willen" snap ik maar kan ik hier lastig uitleggen.
Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Wel even een privacy impact doen. Want kan zomaar een AVG probleem voor je zijn of worden. Privacy kan een lastige zijn.
1)
Je zult toegang moeten krijgen de DNS servers die je domain hosten. Dat gaat je al niet lukken.
2)
Eventueel zoals vermeld je eigen DNS gaan hosten op een server. Vaak is het al wel nodig, dat je meerdere DNS servers hebt draaien.
3)
Wildcard DNS record toevoegen die naar je webserver verwijst en dan met rewrite rules dit wegschrijven in een logfile.
Nadeel: Pakt alleen http dns requests.
Aantal links:
https://getdnsapi.net/query/
https://hackertarget.com/zone-transfer/
https://www.akamai.com/us/en/resources/visualizing-akamai/
https://check-host.net/check-dns?host=
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
https://dnsviz.net/
https://mxtoolbox.com/ met o.a. de supertool.
Weet dat malware ook invloed kan hebben op BIND.
Vergeet ook niet de verhullende werking van "de Cloud" in deze. (zgn. "security through obscurity").
Dus is alles wat je verteld wordt, ook feitelijk zo? Ja, dat kan, maar pas als je het zelf eerst heb vastgesteld.
Geloof dus niets en niemand zomaar op de blauwe ogen.
luntrus
https://getdnsapi.net/query/
https://hackertarget.com/zone-transfer/
https://www.akamai.com/us/en/resources/visualizing-akamai/
https://check-host.net/check-dns?host=
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
https://dnsviz.net/
https://mxtoolbox.com/ met o.a. de supertool.
Weet dat malware ook invloed kan hebben op BIND.
Vergeet ook niet de verhullende werking van "de Cloud" in deze. (zgn. "security through obscurity").
Dus is alles wat je verteld wordt, ook feitelijk zo? Ja, dat kan, maar pas als je het zelf eerst heb vastgesteld.
Geloof dus niets en niemand zomaar op de blauwe ogen.
luntrus
Door Anoniem: Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .
Echt niet, dan zie je (caching) nameservers van google, ziggo, KPN en de rest van de wereld binnen komen en dus niet ALLE queries.
Ik weet niet wat je precies wil maar als je inzicht wilt kun je een eigen DNS inrichten, let op je ziet dan niet alle client queries wat je wel kan doen is bv voor het mailen naar je domein rfc 7208 inrichten en dan met name een macro maken: https://tools.ietf.org/html/rfc7208#page-28
Je creert dan een soort track en trace via SPF je ziet dan letterlijk WEL alle client IP's DNS queries die voor jou domein willen mailen langs komen in je DNS, dat weten maar weinigen en word gebruikt om misbruik op te sporen van spoofen van je domein.
Je creert dan een soort track en trace via SPF je ziet dan letterlijk WEL alle client IP's DNS queries die voor jou domein willen mailen langs komen in je DNS, dat weten maar weinigen en word gebruikt om misbruik op te sporen van spoofen van je domein.
Het probleem is dat de poster niet wil zeggen waar het voor is, en het daardoor niet mogelijk is om een goed antwoord
te geven.
Als de vraag is "kan ik bekijken wie er precies welke namen in mijn domein opvragen en hoe vaak" dan is het antwoord
"NEE dat is niet mogelijk" (door de vele caching DNS resolvers op internet), maar al de vraag zou zijn "kan ik in de gaten
houden of er geprobeerd wordt subdomeinnamen op te vragen die ik niet geregistreerd heb", zonder aantallen en bron te
willen weten, dan kan het WEL. Door je eigen DNS server te draaien (al dan niet door iemand anders beheerd).
Zo zie je maar weer dat "doet er even niet toe waar ik het voor nodig heb" vaak tot onduidelijke situaties en onbruikbare
antwoorden zal leiden.
te geven.
Als de vraag is "kan ik bekijken wie er precies welke namen in mijn domein opvragen en hoe vaak" dan is het antwoord
"NEE dat is niet mogelijk" (door de vele caching DNS resolvers op internet), maar al de vraag zou zijn "kan ik in de gaten
houden of er geprobeerd wordt subdomeinnamen op te vragen die ik niet geregistreerd heb", zonder aantallen en bron te
willen weten, dan kan het WEL. Door je eigen DNS server te draaien (al dan niet door iemand anders beheerd).
Zo zie je maar weer dat "doet er even niet toe waar ik het voor nodig heb" vaak tot onduidelijke situaties en onbruikbare
antwoorden zal leiden.
Door Anoniem:
Echt niet, dan zie je (caching) nameservers van google, ziggo, KPN en de rest van de wereld binnen komen en dus niet ALLE queries.
Door Anoniem: Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .
Echt niet, dan zie je (caching) nameservers van google, ziggo, KPN en de rest van de wereld binnen komen en dus niet ALLE queries.
Je ziet alle queries op de authoritieve servers. Duh.
Jammer TS verstoppertje speelt over de reden, maar alle queries die alle *clients* uitzetten is zelden relevant - maar alle queries die tenminste één keer van de authoritieve server moeten komen zien kan soms nuttig zijn.
(ff nog meer pedant doen : mensen met je domein in een hosts file zie je ook niet )
Door Anoniem: Aantal links:
https://getdnsapi.net/query/
https://hackertarget.com/zone-transfer/
https://www.akamai.com/us/en/resources/visualizing-akamai/
https://check-host.net/check-dns?host=
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
https://dnsviz.net/
https://mxtoolbox.com/ met o.a. de supertool.
Weet dat malware ook invloed kan hebben op BIND.
Vergeet ook niet de verhullende werking van "de Cloud" in deze. (zgn. "security through obscurity").
Dus is alles wat je verteld wordt, ook feitelijk zo? Ja, dat kan, maar pas als je het zelf eerst heb vastgesteld.
Geloof dus niets en niemand zomaar op de blauwe ogen.
luntrus
https://getdnsapi.net/query/
https://hackertarget.com/zone-transfer/
https://www.akamai.com/us/en/resources/visualizing-akamai/
https://check-host.net/check-dns?host=
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
https://dnsviz.net/
https://mxtoolbox.com/ met o.a. de supertool.
Weet dat malware ook invloed kan hebben op BIND.
Vergeet ook niet de verhullende werking van "de Cloud" in deze. (zgn. "security through obscurity").
Dus is alles wat je verteld wordt, ook feitelijk zo? Ja, dat kan, maar pas als je het zelf eerst heb vastgesteld.
Geloof dus niets en niemand zomaar op de blauwe ogen.
luntrus
(repost) - maar luntrus' link collectie heeft NIETS te maken met de vraag van TS en is daar geen antwoord op.
Ik denk dat luntrus de vraag niet begrepen heeft.
De vraag valt ook niet te begrijpen en had niet gesteld hoeven te worden,
als OP zlf op stackoverflow had gezocht naar postings over DNS query log debugging
(later debugging weer uitschakelen).
#sockpuppet
als OP zlf op stackoverflow had gezocht naar postings over DNS query log debugging
(later debugging weer uitschakelen).
#sockpuppet
Door Anoniem: De vraag valt ook niet te begrijpen en had niet gesteld hoeven te worden,
als OP zlf op stackoverflow had gezocht naar postings over DNS query log debugging
(later debugging weer uitschakelen).
#sockpuppet
als OP zlf op stackoverflow had gezocht naar postings over DNS query log debugging
(later debugging weer uitschakelen).
#sockpuppet
Die vragen van stackoverflow -en tip hoe je logging aanzet - zijn pas relevant als OP geregeld heeft om zelf zijn (?) authoritieve DNS servers te runnen.
OP vraagt of er dns hosters zijn die voor hem die logging willen aanzetten - waaruit je concludeert dat hij op moment zelf niet z'n servers draait.
Vandaar (mijn) eerste antwoord in de serie - ga eerst zelf je authoritieve dns server draaien. Dan kun je de logging (pas) aanzetten... . Het _hoe_ de logging aan te zetten volgt dan wel.
Je kan ook je lokale router adres als DNS server laten opereren.
Vaak nog sneller ook.
Vaak nog sneller ook.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.