我有一个通配符logging的BIND9数据库: * IN CNAME host.mydomain.tld. 我想让我的DNS服务器“欺骗”NXDOMAIN的select名称: nxhost1 => NXDOMAIN nxhost2 => NXDOMAIN etc… BIND9可以实现吗? 如果是这样,我该怎么办呢? 谢谢。
我的客户想使用他的网站的根/裸域名,而不是www子域。 我对DNS上的细节并不太了解。 创build一个将www子域指向根的CNAMElogging是否安全? 即http://www.example.com – > http://example.com我已经看到例子redirect到www,但不是相反。 如果重要的话,该网站在Azure上,DNS设置托pipe在dreamhost。 非常感谢
我在局域网上运行一个只能转发的BIND9服务器,每天都会logging数百个错误,如下所示: Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; […]
在cloudflare上,我已经给出了example.com的详细信息 A record pointing to Azure IP www CNAME record to example.azurewebsites.net Cloudflare路由适用于example.com和www.example.com。但是,对example.azurewebsites.net的任何请求都会直接路由到azurenetworking。 如何通过cloudflare将请求路由到example.azurewebsites.net。 如果攻击者击中原始example.azurewebsites.net,本质上cloudflare DDOS保护是无效的 我也知道Azure具有DDOS防护能力
这是我的OpenVPN服务器configuration: port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh4096.pem topology subnet server 10.224.127.0 255.255.255.0 # AKA 10.224.127.0/24 ifconfig-pool-persist ipp.txt push "route 10.0.0.0 255.0.0.0" push "dhcp-option DNS 10.0.9.102" push "dhcp-option DNS 10.0.8.186" push "dhcp-option DOMAIN dc1.lam.myname.net aws.myname.net myname.local" keepalive 10 120 comp-lzo max-clients 10 user nobody group nobody persist-key persist-tun […]
我需要找出为特定网站parsingDNS所花费的时间。 例如:我需要找出使用8.8.8.8全局DNS服务器和使用本地DNS服务器parsingabc.com需要多less毫秒。 我可以使用nslookup命令获取这些信息吗? 我试过这个,但是没有显示所花费的时间。 域控制器:Windows Server 2008 R2 Standard 客户端操作系统:Windows 7专业版
我想知道是否将ACL访问限制为允许recursion的名称服务器,最糟糕的情况是有人在ACL中的任何允许的主机上启动了dns放大。 例如: ACL allow access to 11.111.111.11 and 22.222.22.222 22.222.22.222理论上可以在11.111.111.11发起dns放大攻击?
我们一直在考虑使用像OpenDNS(或任何人)这样的第三方recursionDNS提供商来提供一层反钓鱼和DNSSECvalidation(而不必在内部实现这些function)。 要允许内部(Windows域)DNS正常工作,这些recursionDNS提供程序通常在Windows DNS服务中configuration为DNS转发器吗? 外包recursionDNS时是否还有其他的最佳实践或考虑?
我从来没有在例子中find任何引用,包括来自绑定ARM的。 不过,我注意到我的授权服务器收到来自IP的传输请求 – 而不是它们的名字 – 实际上是一些根服务器集合的一部分 – DNS根目录。 我准备在我的configuration中允许这样的转移,并且考虑到双重检查。 如果我是对的,那么根才会回答gTLD,然后TLD仅针对各自的下一级域名 – 代表团。 但是,如果我理解DNS的层次化devise,每个服务器都要提供它所拥有的所有信息,而不是提供严格的最小值,并将客户端引入迭代过程。 那么为什么不呢,根服务器可能希望能够回答我的区域…这将减轻我自己的服务器。 所以,首先,为什么根服务器(似乎)要求我的区域? 这实际上是一个攻击吗? 或者,如果可以的话,仍然存在这样的风险,即这样的服务器根或TLD将允许它处理的区域进行传输,而这可能不是我们的政策 – 不要相信大鱼总是完全pipe理它的设置。 我想我们可能会有不同的感觉,具体取决于是否已经使用DNSSECauthentication了区域,因为相信DNSSEC签名的根不仅仅等同于信任整个区域内容的根。 顺便说一句,如果我们允许转让,我们也应该通知他们修改。 *我觉得这个问题也应该有标签* AXFR,区域转移和根服务器 编辑 (这里是线索): 我正在从日志里去 20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied 所以 dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa. 192.in-addr.arpa. 86400 IN NS y.arin.net. […] dig +noall +answer +authority -x […]
我的公司“ourcompany”拥有二级DNS域名: ourcompany.org 。 我们目前使用此域名,以及www.ourcompany.org和feature1.ourcompany.org ,并为这些第三级域名生成SSL证书。 然后,我们订阅了第三方托pipe服务,托pipe在我们的ourcompany.thirdparty.org 。 他们处理SSL并拥有主题为thirdparty.org并具有Subject Alternative Name *.thirdparty.org 。 此第三方公司还提供了添加自定义域的function。 所以我们在DNSconfiguration中添加了一个CNAMElogging,现在我们有了feature2.ourcompany.org指向feature2.ourcompany.org 。 显然,在访问feature2.ourcompany.org时,SSL feature2.ourcompany.org 。 然后,第三方公司也要求我们通过TXT DNS条目来certificate我们是域名的所有者,他们能够以某种方式更新他们的SSL证书,并添加以下主题替代名称: *.ourcompany.org和*.ourcompany.org 。 那么这对于中间人来说不是一个潜在的来源呢? (第三方公司现在可以在我们的任何域名上冒充我们) 一个任意的第三方公司如何生成有效的SSL证书,包括指向他们不拥有的域的SAN? (他们的SAN包括比我们添加的CNAME域logging更多的东西) authentication机构是否允许我们的域名作为SAN,因为CNAMElogging指向他们的域名(在这种情况下,SAN如何包含比仅仅feature2.ourcompany.org更多的域名),或者由于TXT条目(在这种情况下,有人能指出我解释这个过程的资源)?