Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
NXDOMAIN
28-01-2021, 16:27 door Anoniem, 16 reacties
Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s). Vanwege TLP mag ik het domein helaas niet delen.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Reacties (16)
29-01-2021, 10:21 door
Anoniem
Door Anoniem: Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s).
Zeer vage post....Je hebt een domein dat misbruikt wordt via http(s)? Hoe wordt dit dan misbruikt? Hoe weet je dat? Jij beheerd toch de DNS records?
Vanwege TLP mag ik het domein helaas niet delen.[/quote[
Wat betekend TLP trouwens?
Jij bent toch de eigenaar van dit domain? Jij bepaald dus ook wat er in DNS staat.
Je doet DNS lookups, en niet specifiek "voor het ip adres".
Je hebt een heel vaag topic, waarin eigenlijk niet duidelijk is: wat is nu je probleem?
Wat betekend TLP trouwens?
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Wat bedoel je hiermee?Jij bent toch de eigenaar van dit domain? Jij bepaald dus ook wat er in DNS staat.
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Je wilt zelf nu de DNS gaan hosten voor dit domein? Of.... Dan moet je meestal al meerdere DNS servers hebben volgens mij. Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Je doet DNS lookups, en niet specifiek "voor het ip adres".
Je hebt een heel vaag topic, waarin eigenlijk niet duidelijk is: wat is nu je probleem?
29-01-2021, 10:58 door
Anoniem
whitelist op je firewall, of dnscrypt zijn mogelijkheden
29-01-2021, 11:24 door
Anoniem
In Pi-hole kun je via Groups bepalen wie kan resolven en wie een 0.0.0.0 als IP terug krijgt. Dit werkt alleen voor clients die gebruik maken van Pi-hole als DNS server.
Gebruikt een browser op client DoH dan hekpt niets of je moet poort TCP/443 dichtzetten maar dan kan die client helemaal geen pagina's op het intetnet meer bezoeken. Zo ook deze pagina op security.nl.
Gebruikt een browser op client DoH dan hekpt niets of je moet poort TCP/443 dichtzetten maar dan kan die client helemaal geen pagina's op het intetnet meer bezoeken. Zo ook deze pagina op security.nl.
29-01-2021, 11:27 door
Anoniem
Nee. DNS is een wereldwijde en openbare database.
29-01-2021, 11:54 door
Anoniem
Door Anoniem: Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s). Vanwege TLP mag ik het domein helaas niet delen.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Nee.
29-01-2021, 12:15 door
Anoniem
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.
Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.
Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
29-01-2021, 13:11 door
Anoniem
Door Anoniem: Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen: Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.Je kan nog even testen of je dezelfde records terug krijgt als je test via verschillende resolvers (Cloudflare, Google) etc en daar misschien wel een geldig record terug krijgt. Misschien zit er ook nog een verschil tussen A en AAAA records? Of een HTTPS record wat vrij niew is?
29-01-2021, 13:30 door
Briolet
Door Anoniem:
Door Anoniem: Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen: Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.Wij gebruiken een eigen DNS server waar groepen op aangemaakt zijn. Verschillende groepen krijgen een ander antwoord op basis van het IP adres. Maar zoals je aangeeft werkt dat lokaal goed bij de apparatuur die de DNS server rechtstreeks benaderd. Als je de server indirect benaderd via een 2e DNS server, zal het IP van de oorspronkelijke opvrager niet bekend zijn.
29-01-2021, 13:39 door
Anoniem
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.
Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.
Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.
Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.
Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
Ooit van recursive resolvers gehoord? Het kan alleen binnen je eigen kantooromgeving met bijvoorbeeld een split view.
29-01-2021, 13:40 door
Anoniem
Ik denk dat je een security probleem probeert op te lossen op een verkeerde manier.
Analogie: wat je hier voorstelt is dat iedereen in Nederland de straatnaam mag opvragen om je winkel te bezoeken, maar mensen in het buitenland mogen niet weten in welke straat in Nederland je winkel staat.
Analyseer de attack-vector en mitigeer dat.
Analogie: wat je hier voorstelt is dat iedereen in Nederland de straatnaam mag opvragen om je winkel te bezoeken, maar mensen in het buitenland mogen niet weten in welke straat in Nederland je winkel staat.
Analyseer de attack-vector en mitigeer dat.
29-01-2021, 15:48 door
Anoniem
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
29-01-2021, 18:01 door
Anoniem
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Netwerk verkeerDoor Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
29-01-2021, 18:58 door
Anoniem
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
recursion requested but not available
29-01-2021, 19:00 door
Anoniem
Door Anoniem:
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Netwerk verkeerDoor Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Top, hier kan ik wat mee. Dan is het probleem opgelost.
29-01-2021, 19:28 door
Anoniem
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Als je nou niet wilt leren hoe dingen werken, waarom is een antwoord op een klein onderdeeltje dan nuttig voor je ?
'upstream DNS' . Waarschijnlijk bedoel je een DNS resolver - evt 'full resolver' . De term 'recursor' of 'recursive resolver' wordt ook wel gebruikt voor deze DNS taak.
Die stuurt een query naar de root DNS servers , en krijgt (als het een geldig TLD is), NS records en A-records voor die NS'en terug .
Zo'n A-record voor een NS heet in dat geval een 'glue record' , want anders heb je een kip-ei probleem .
www.google.com A -> root . Antwoord : NS'en voor .com .
www.google A -> NS server voor .com . Antwoord : NS records (en A records) voor google.com .
www.google.com A -> NS server voor google.com : Antwoord : A records voor www.google.com
Dat is kortgezegd de simpele variant van een volledige lookup .
Je resolver zal typisch de NSen van TLDs wel in de cache hebben, dus niet voor elke query naar de roots gaan.
Maar dit soort dingen is ZO makkelijk te vinden - waarom willen mensen op een slow chat forum voorgesneden brokjes krijgen ?
(Trouwens - iemand die misbruik onderzoekt en blijkbaar met TLP te maken heeft (Traffic Light Protocol ? - kleurcodes voor informatie die wel of niet breed gedeeld mag worden ) - leer je vak. DNS kunnen nalopen is een basis ding voor als je misbruik domeinen wilt onderzoeken.
29-01-2021, 20:25 door
Anoniem
Door Anoniem:
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Door Anoniem:
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.
Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.
En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
https://securitytrails.com/blog/dns-root-servers:
A. Root servers will return the list of TLD servers so the provider or configured server can again send a query, this time to a TLD server.
B. The TLD server will then return the authoritative name server where the desired domain is stored.
C. This is when the server that made the request sends a query to the authoritative server hosting the zone of the domain in question.
D. Once the request has reached the authoritative server, it will respond to the requesting server with the IP address for jouwbedrijfkes-voorbeeld.nl.
Die rootservers geven voor zover mij bekend nooit het antwoord voor iets van subje.jouwbedrijfkes-voorbeeld.nl, maar alleen waar moet je zijn voor .nl. dan zegt de SIDN dns server waar je voor jouwbedrijfkes-voorbeeld.nl moet zijn en jij haalt jouw antwoord op bij die nameserver (bv. ns.jouwbedrijfkes-voorbeeld.nl). Daarna mag je het wel ff cachen.
Mocht ik ernaast zitten, mogelijk goed toe te lichten hoe het wel werkt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security-engineer IAM
Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
