¿Qué podría hacer con un registro PTR de “localhost”?

4

En el resumen de registro de hoy de mi servidor SSH, encontré la siguiente entrada interesante:

Illegal users from:
  113.175.205.167 (localhost): 2 times

Si se realiza una búsqueda de DNS en 113.175.205.167 , de hecho se resuelve en localhost (una búsqueda de DNS de localhost se resuelve en 127.0.0.1 , como se esperaba). ¿Qué podría intentar hacer un atacante con un registro de DNS obviamente no válido?

    
pregunta Mark 12.05.2016 - 21:57
fuente

1 respuesta

4

Un atacante podría intentar omitir una lista blanca basada en el nombre de host en su servidor.

En un escenario ingenuo, puede configurar SSH o un firewall para permitir solo conexiones desde "localhost" , con la intención de bloquear todas las máquinas remotas por razones de seguridad.

Un servidor inteligente SSH reconocería que 113.175.205.167 es remoto y bloquearía el intento de conexión. Eventualmente, resolvería localhost a 127.0.0.1 y vería que las IP no coinciden.

Sin embargo, un servidor con una implementación defectuosa puede realizar primero una búsqueda DNS inversa de la IP, encontrar la entrada localhost y el motivo por el que los nombres de host coinciden, lo que permite la conexión.

NB: la resolución de localhost a 127.0.0.1 obviamente se realiza internamente en la mayoría de los casos, omitiendo la consulta del DNS (por ejemplo, buscándolo en /etc/hosts ). Por lo tanto, un servidor DNS malintencionado no puede atacar fácilmente a la inversa resolviendo localhost a una IP arbitraria.

¿Por qué esa IP en particular se resuelve en localhost?

Aquí, es probable que no sea parte de un ataque, sino porque esa IP se encuentra en Hanoi y aparentemente, " El país de Vietnam se resuelve en Localhost ". La reason parece ser una técnica obsoleta para eludir e Filtros de correo no deseado.

    
respondido por el Arminius 13.05.2016 - 00:19
fuente

Lea otras preguntas en las etiquetas