개인 주소로 설정된 DNS 레코드에 대해 nslookup이 실패하는 이유는 무엇입니까?

tag-icon tag-icon dns openwrt resolution dnsmasq nslookup
개인 주소로 설정된 DNS 레코드에 대해 nslookup이 실패하는 이유는 무엇입니까?

설정

일부 네트워크에서는 nslookup다음을 사용하여 개인 IP 주소를 가리키는 도메인 이름을 확인할 수 있습니다.

@work> nslookup my192.ddns.net
Server:     10.1.2.3
Address:    10.1.2.3#53

Non-authoritative answer:
Name:   my192.ddns.net
Address: 192.168.20.20

그러나 내 홈 네트워크에서는 동일한 쿼리가 실패합니다.

@home> nslookup my192.ddns.net
Server:     192.168.0.1
Address:    192.168.0.1#53

Non-authoritative answer:
*** Can't find my192.ddns.net: No answer

무슨 일이 일어나는지

my192.ddns.net공용 IP 범위를 가리키도록 A 레코드를 변경하면 제대로 작동한다는 것을 알았습니다 .

@home> nslookup my192.ddns.net
Server:     192.168.0.1
Address:    192.168.0.1#53

Non-authoritative answer:
Name:   my192.ddns.net
Address: 172.217.12.238

집에서 nslookup에 대한 DNS 서버를 지정하거나 노트북의 DNS 서버를 Google 서버로 설정하면 nslookup예상대로 작동합니다.

@home> nslookup my192.ddns.net 8.8.8.8
Server:     8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
Name:   my192.ddns.net
Address: 192.168.20.20

하지만 로컬 네트워크 이름을 확인할 수 있도록 홈 라우터를 기본 DNS로 계속 사용하고 싶습니다. 개인 범위 주소(예 192.168.20.20: :) 를 가리키는 DNS 레코드를 찾으려고 할 때 실패하지 않기를 바랍니다.

홈 네트워크

난 달린다발광 다이오드(전에오픈WRT) 내 집 라우터에서 실행되는 것을 dnsmasq살펴보았습니다.DNS 설명서주소를 확인하는 데 사용하는 DNS 서버가 Google의 ( )이 되도록 시스템을 설정했지만 8.8.8.8여전히 실패하고 이유를 알 수 없는 것 같습니다.

질문

여기서 무슨 일이 일어나고 있으며 어떻게 해결할 수 있습니까?

답변1

이것이 특징입니다 dnsmasq. 이것은 dnsmasq... 불리운다 "리바인딩 보호". 기본적으로 켜져 있습니다. 끄거나 사용하려는 도메인을 화이트리스트 도메인 세트에 추가하세요 rebind_domain.

rebind_protection에서 변경하려는 경우 해당 옵션을 볼 수 있습니다 /etc/config/dhcp. 리바인딩 보호를 비활성화하기로 결정한 경우 /etc/init.d/dnsmasq restart변경 사항을 적용하려면 실행해야 합니다.

config dnsmasq
        option domainneeded '1'
        option localise_queries '1'
        option rebind_protection '0'
        option rebind_localhost '1'

하나의 도메인을 제외하고 보안을 유지하려면 다음과 같이 제외 항목을 추가하면 됩니다.

config dnsmasq
        list rebind_domain '/acmevpn.net/'
        list rebind_domain '/foobar.net/'

이를 방지한다고 주장하는 공격은 공격자가 WWW 브라우저가 전 세계에서 공격자가 제공한 프로그램을 자동으로 다운로드하고 실행하여 xyr 도메인이 외부 도메인 간에 빠르게 번갈아 나타나는 것처럼 보이게 한다는 사실을 이용하는 것입니다. IP 주소와 LAN 내부의 IP 주소. 사용자의 컴퓨터는 해당 IP 주소를 가진 LAN의 다른 컴퓨터와 공격자가 운영하는 일부 콘텐츠 서버 사이의 통로 역할을 합니다.

답변2

이는 일부 DNS 소프트웨어가 개인 IP 주소로 확인되지 않는 보안 조치입니다. 내가 이렇게 하고 싶은 이유는 보안되지 않은 라우터에 대한 액세스를 방지하기 위해서입니다.

이 문제는 모든 해결을 수행하는 DNS를 사용하지 않고 대신 도메인 자체에 대해 NS에 연결하도록 확인자를 구성하여 해결할 수 있습니다.

관련 정보