Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
NXDOMAIN
28-01-2021, 16:27 door Anoniem, 16 reacties
Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s). Vanwege TLP mag ik het domein helaas niet delen.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Reacties (16)
Door Anoniem: Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s).
Zeer vage post....Je hebt een domein dat misbruikt wordt via http(s)? Hoe wordt dit dan misbruikt? Hoe weet je dat? Jij beheerd toch de DNS records?
Vanwege TLP mag ik het domein helaas niet delen.[/quote[
Wat betekend TLP trouwens?
Jij bent toch de eigenaar van dit domain? Jij bepaald dus ook wat er in DNS staat.
Je doet DNS lookups, en niet specifiek "voor het ip adres".
Je hebt een heel vaag topic, waarin eigenlijk niet duidelijk is: wat is nu je probleem?
Wat betekend TLP trouwens?
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Wat bedoel je hiermee?Jij bent toch de eigenaar van dit domain? Jij bepaald dus ook wat er in DNS staat.
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Je wilt zelf nu de DNS gaan hosten voor dit domein? Of.... Dan moet je meestal al meerdere DNS servers hebben volgens mij. Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Je doet DNS lookups, en niet specifiek "voor het ip adres".
Je hebt een heel vaag topic, waarin eigenlijk niet duidelijk is: wat is nu je probleem?
In Pi-hole kun je via Groups bepalen wie kan resolven en wie een 0.0.0.0 als IP terug krijgt. Dit werkt alleen voor clients die gebruik maken van Pi-hole als DNS server.
Gebruikt een browser op client DoH dan hekpt niets of je moet poort TCP/443 dichtzetten maar dan kan die client helemaal geen pagina's op het intetnet meer bezoeken. Zo ook deze pagina op security.nl.
Gebruikt een browser op client DoH dan hekpt niets of je moet poort TCP/443 dichtzetten maar dan kan die client helemaal geen pagina's op het intetnet meer bezoeken. Zo ook deze pagina op security.nl.
Door Anoniem: Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s). Vanwege TLP mag ik het domein helaas niet delen.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Nee.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.
Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.
Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
Door Anoniem: Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen: Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.Je kan nog even testen of je dezelfde records terug krijgt als je test via verschillende resolvers (Cloudflare, Google) etc en daar misschien wel een geldig record terug krijgt. Misschien zit er ook nog een verschil tussen A en AAAA records? Of een HTTPS record wat vrij niew is?
29-01-2021, 13:30 door
Briolet
Door Anoniem:
Door Anoniem: Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen: Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.Wij gebruiken een eigen DNS server waar groepen op aangemaakt zijn. Verschillende groepen krijgen een ander antwoord op basis van het IP adres. Maar zoals je aangeeft werkt dat lokaal goed bij de apparatuur die de DNS server rechtstreeks benaderd. Als je de server indirect benaderd via een 2e DNS server, zal het IP van de oorspronkelijke opvrager niet bekend zijn.
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.
Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.
Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.
Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.
Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
Ooit van recursive resolvers gehoord? Het kan alleen binnen je eigen kantooromgeving met bijvoorbeeld een split view.
Ik denk dat je een security probleem probeert op te lossen op een verkeerde manier.
Analogie: wat je hier voorstelt is dat iedereen in Nederland de straatnaam mag opvragen om je winkel te bezoeken, maar mensen in het buitenland mogen niet weten in welke straat in Nederland je winkel staat.
Analyseer de attack-vector en mitigeer dat.
Analogie: wat je hier voorstelt is dat iedereen in Nederland de straatnaam mag opvragen om je winkel te bezoeken, maar mensen in het buitenland mogen niet weten in welke straat in Nederland je winkel staat.
Analyseer de attack-vector en mitigeer dat.
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Netwerk verkeerDoor Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
recursion requested but not available
Door Anoniem:
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Netwerk verkeerDoor Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Top, hier kan ik wat mee. Dan is het probleem opgelost.
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Als je nou niet wilt leren hoe dingen werken, waarom is een antwoord op een klein onderdeeltje dan nuttig voor je ?
'upstream DNS' . Waarschijnlijk bedoel je een DNS resolver - evt 'full resolver' . De term 'recursor' of 'recursive resolver' wordt ook wel gebruikt voor deze DNS taak.
Die stuurt een query naar de root DNS servers , en krijgt (als het een geldig TLD is), NS records en A-records voor die NS'en terug .
Zo'n A-record voor een NS heet in dat geval een 'glue record' , want anders heb je een kip-ei probleem .
www.google.com A -> root . Antwoord : NS'en voor .com .
www.google A -> NS server voor .com . Antwoord : NS records (en A records) voor google.com .
www.google.com A -> NS server voor google.com : Antwoord : A records voor www.google.com
Dat is kortgezegd de simpele variant van een volledige lookup .
Je resolver zal typisch de NSen van TLDs wel in de cache hebben, dus niet voor elke query naar de roots gaan.
Maar dit soort dingen is ZO makkelijk te vinden - waarom willen mensen op een slow chat forum voorgesneden brokjes krijgen ?
(Trouwens - iemand die misbruik onderzoekt en blijkbaar met TLP te maken heeft (Traffic Light Protocol ? - kleurcodes voor informatie die wel of niet breed gedeeld mag worden ) - leer je vak. DNS kunnen nalopen is een basis ding voor als je misbruik domeinen wilt onderzoeken.
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
https://securitytrails.com/blog/dns-root-servers:
A. Root servers will return the list of TLD servers so the provider or configured server can again send a query, this time to a TLD server.
B. The TLD server will then return the authoritative name server where the desired domain is stored.
C. This is when the server that made the request sends a query to the authoritative server hosting the zone of the domain in question.
D. Once the request has reached the authoritative server, it will respond to the requesting server with the IP address for jouwbedrijfkes-voorbeeld.nl.
Die rootservers geven voor zover mij bekend nooit het antwoord voor iets van subje.jouwbedrijfkes-voorbeeld.nl, maar alleen waar moet je zijn voor .nl. dan zegt de SIDN dns server waar je voor jouwbedrijfkes-voorbeeld.nl moet zijn en jij haalt jouw antwoord op bij die nameserver (bv. ns.jouwbedrijfkes-voorbeeld.nl). Daarna mag je het wel ff cachen.
Mocht ik ernaast zitten, mogelijk goed toe te lichten hoe het wel werkt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.