假设你想要创build一个指向私有位置的子域(可能是数据库的位置,或者你不希望用户试图SSH访问的计算机的IP地址),那么你需要添加一个名为something的DNSlogging喜欢这个:
private-AGhR9xJPF4.example.com 除了那些知道subdoman的确切URI的人之外,这是否会被隐藏? 或者,有什么方法可以“列出”特定域的所有已注册子域?
没有针对这个具体目的的查询,但是有一些间接的方法。
AXFR )。 大多数服务器运营商将区域传输locking到特定的IP地址,以防止无关方面窥探。 NSEC请求来遍历区域 。 实施NSEC3是为了使区域步行更加计算密集。 还有一个技巧,可以让别人知道一个任意的子域是否存在。
example.com. IN A 198.51.100.1 www.sub.example.com. IN A 198.51.100.2
在上面的例子中, www位于sub 。 对sub.example.com IN A A的查询将不会返回ANSWER部分,但结果代码将是NOERROR而不是NXDOMAIN,背离树中更远的logging。 (不是那些logging被命名的)
不可以。从客户端可靠地隐藏数据的唯一方法是确保它无法获取数据。 假设您的DNSlogging的存在将通过口耳相传或通过观察数据包在谁有权访问的人之间传播。
如果您尝试隐藏可路由的DNS客户端的logging, 您正在做错误™ 。 确保数据只暴露在需要它的环境中。 (即私人路由域使用私有IP)即使你有这样一个部门build立,假设知识的IP地址将围绕无论如何蔓延。
对安全性的关注应该是当有人获得IP地址时发生的事情,因为这将会发生。
我知道,IP地址保密是一个梦想的理由清单可以进一步扩大。 知识产权扫描,社会工程……名单是无止境的,我主要关注这个问题的DNS协议方面。 在一天结束的时候,这一切都属于同一个伞: 有人会得到你的IP地址 。
这取决于。
安德鲁B的答案是现货,当你在公共DNS域也注册子公司的MX域名logging和公共网站的子域。
大多数公司将有一个内部的DNS服务器,而不是公开的可以在那里注册内部( 秘密 )主机的主机名。
build议的方法是注册一个专用域供内部使用,或者在主域中创build一个子域供内部使用。
但是从技术上讲,您还可以通过在您的域上创build一个内部视图来使用您的主域,其中取决于DNS客户端的来源,可以看到备用版本的DNS区域。