DNS rebinding attack ochrana

Re:DNS rebinding attack ochrana
« Odpověď #15 kdy: 28. 04. 2018, 12:37:43 »
Zabránit přístupu na localhost není v principu tak těžké – stačí filtrovat odpovědi z DNS. Víte, že 127.0.0.1 (a pár dalších jako 127.0.0.2, případně varianty pro IPv6) nejsou povolené odpovědi. U lokální sítě je to horší, protože někdo může legitimně chtít udělat lokální záznam. Je trochu otázka, kam to posune DNSSEC.

A navíc dělat portscan lze i jinak: https://github.com/aabeling/portscan

V případě notebooku připojovaného do nedůvěryhodných sítí lze zkoušet browser cache poisoning, i když to už má větší prerekvizity.


Lol Phirae

Re:DNS rebinding attack ochrana
« Odpověď #16 kdy: 28. 04. 2018, 12:52:56 »
Zabránit přístupu na localhost není v principu tak těžké – stačí filtrovat odpovědi z DNS. Víte, že 127.0.0.1 (a pár dalších jako 127.0.0.2, případně varianty pro IPv6) nejsou povolené odpovědi.

To není moc dobrý nápad (rozbijete si např. DNS blacklisty/whitelisty pro mailserver).

Re:DNS rebinding attack ochrana
« Odpověď #17 kdy: 28. 04. 2018, 13:45:38 »
To už záleží na implementaci – jestli ochrana proti DNS rebindingu funguje globálně nebo per-app a jestli ten whitelist jede stejným kanálem jako nějaké globální DNS.