En el resumen de registro de hoy de mi servidor SSH, encontré la siguiente entrada interesante:
Illegal users from:
113.175.205.167 (localhost): 2 times
Si se realiza una búsqueda de DNS en 113.175.205.167 , de hecho se resuelve en localhost (una búsqueda de DNS de localhost se resuelve en 127.0.0.1 , como se esperaba). ¿Qué podría intentar hacer un atacante con un registro de DNS obviamente no válido?
Un atacante podría intentar omitir una lista blanca basada en el nombre de host en su servidor.
En un escenario ingenuo, puede configurar SSH o un firewall para permitir solo conexiones desde "localhost" , con la intención de bloquear todas las máquinas remotas por razones de seguridad.
Un servidor inteligente SSH reconocería que 113.175.205.167 es remoto y bloquearía el intento de conexión. Eventualmente, resolvería localhost a 127.0.0.1 y vería que las IP no coinciden.
Sin embargo, un servidor con una implementación defectuosa puede realizar primero una búsqueda DNS inversa de la IP, encontrar la entrada localhost y el motivo por el que los nombres de host coinciden, lo que permite la conexión.
NB: la resolución de localhost a 127.0.0.1 obviamente se realiza internamente en la mayoría de los casos, omitiendo la consulta del DNS (por ejemplo, buscándolo en /etc/hosts ). Por lo tanto, un servidor DNS malintencionado no puede atacar fácilmente a la inversa resolviendo localhost a una IP arbitraria.
Aquí, es probable que no sea parte de un ataque, sino porque esa IP se encuentra en Hanoi y aparentemente, " El país de Vietnam se resuelve en Localhost ". La reason parece ser una técnica obsoleta para eludir e Filtros de correo no deseado.
Lea otras preguntas en las etiquetas dns