저는 안전하지 않은 동적 DNS 업데이트로 인한 위험과 관련된 사례 연구를 진행 중입니다. 정적 주소와 동적으로 생성된 주소가 혼합되어 구성된 내부 DNS가 있다고 가정합니다. Windows AD 통합 DNS 환경을 고려해보세요.
아래 질문 중 몇 가지에 대한 도움이 필요합니다.
- DNS 서버의 다른 IP 주소를 참조하여 동일한 호스트에 대해 정적 및 동적으로 생성된 A 레코드가 공존할 수 있습니까? (예: 동일한 호스트 이름을 가진 네트워크에 도입된 새로운 시스템에 의해 생성된 동적 A 레코드)
- 그렇다면 이러한 경우 DNS 확인은 어떻게 이루어지나요? DNS 쿼리가 정적 A 레코드 대신 잘못된 동적 A 레코드를 확인할 수 있나요?
- 안전하지 않은 ddns 업데이트 대신 안전한 동적 DNS 구성을 사용하면 이를 피할 수 있습니까? 그렇다면 DDNS를 보호하면 이러한 시나리오를 어떻게 방지할 수 있습니까?
이 문제에 대한 도움은 매우 도움이 될 것입니다.
미리 감사드립니다.
답변1
동일한 호스트에 대해 정적 및 동적으로 생성된 A 레코드가 공존할 수 있습니까?
이름은 여러 IP 주소로 확인될 수 있습니다. 즉, 여러 개의 A또는 AAAA레코드가 있습니다. 클라이언트는 이름을 쿼리할 때 전체 집합을 가져옵니다.
IP 주소가 프로비저닝되는 방식은 "동적" 경우 업데이트가 실제로 대체인 경우를 제외하고는 위와 관련이 없습니다. 즉, "기존 IP 주소를 모두 제거한 후 지금 X를 Y 주소로 확인하십시오." 그것을 위해".
따라서 그것은 모두 동적 기능이 어떻게 작동하는지에 달려 있습니다. 첨가물이라면 혼합할 수 있습니다.
그렇다면 이러한 경우 DNS 확인은 어떻게 이루어지나요? DNS 쿼리가 정적 A 레코드 대신 잘못된 동적 A 레코드를 확인할 수 있나요?
레코드 가 여러 개인 경우 A모두 반환됩니다. 클라이언트는 자신이 어디서 왔는지(동적 또는 정적) 알 수 있는 방법이 없습니다.
안전하지 않은 ddns 업데이트 대신 안전한 동적 DNS 구성을 사용하면 이를 피할 수 있습니까? 그렇다면 DDNS를 보호하면 이러한 시나리오를 어떻게 방지할 수 있습니까?
예, 또한 전체 영역이 아닌 동적 업데이트에 대해 영역의 하위 영역만 공개됩니다.