web-dev-qa-db-ja.com

私のルーターはDNS再バインド攻撃を誤って検出します

AdvancedTomatoの最新バージョンを実行しているルーターがあります。 (IPアドレスではなく)ドメイン名を使用してホームネットワーク(問題のルーターと同じネットワーク)上のサーバーにアクセスしようとすると失敗し、ルーターログに次の警告が表示されます。

Jun 19 20:45:13 unknown daemon.warn dnsmasq[3844]: possible DNS-rebind attack detected: <domain_name>

ルーターでDNS再バインド保護を無効にすると、問題が修正されます。 DNS再バインド保護を無効にせずにこの問題を修正するためにできることはありますか?

networkingsecuritydnsdnsmasqtomato
1
user740250

TomatoルーターはDNSクエリを解決するためにdnsmaqを使用しています(実際にはそれらをリゾルバーに転送しますが、私は気にしないでください)。

dnsmasqには、保護機能が組み込まれています。アップストリームリゾルバーがプライベートIPアドレスを返すことを禁止します。ただし、dnsmasqの--rebind-*オプションの1つを使用することで、ユースケースに対してのみこれを修正できます(manページを参照)。抜粋:

--rebind-localhost-ok
    Exempt 127.0.0.0/8 from rebinding checks. This address range is returned by realtime black hole servers, so blocking it may disable
these services. 
--rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/]
    Do not detect and block dns-rebind on queries to these domains. The argument may be either a single domain, or multiple domains
surrounded by '/', like the --server syntax, eg.
--rebind-domain-ok=/domain1/domain2/domain3/

あなたの場合、オプション--rebind-domain-ok=/domain_name/を検討することをお勧めします(domain_nameをドメイン名に置き換えてください)。

4
Huygens