刷TT的路由器日志出现possible DNS-rebind attack detected
我的长虹G121-T路由器,刷的Tomato v1.27.0000 -R1 K26 USB Std,最近系统日志中出现了一段文字:“unknown daemon.warn dnsmasq: possible DNS-rebind attack detected”,差不多是在6分钟之内出现的,请教各位是什么意思?哪里设置有问题吗?
不是你的设置有问题,而是你的ISP的DNS服务器在捣鬼,它在解析域名的时候返回的是你内网的IP地址,动机相当不纯。 学习学习。。。 回复 Salvisian 的帖子
能否详细讲解一下具体是什么意思呢,我可以采取什么措施不?谢谢你 举个简单的例子吧,比如你用浏览器访问某个网站(比如www.aaa.com),首先要做的就是去DNS那里查询www.aaa.com对应的IP地址是多少,正常的情况应该返回www.aaa.com在internet 的确切的公网地址,如果DNS使点心眼,它返回一个你内网使用的私有地址(比如家庭使用的路由器默认IP地址通常是192.168.1.1,而且很多人的路由器密码从出厂设定就不曾改过,那么你的浏览器就会错误的使用这个内网地址去访问内网的资源,如果这个过程是配合某些恶意脚本,再加上精心炮制的流程,你内网的秘密就能被有偷窥癖的人轻易获得了。要知道我们的ISP对我们家里的网络环境是很感兴趣的。
你的路由器使用dnsmasq这个程序来做本地DNS缓存,它显示“possible DNS-rebind attack detected”说明它已经捕获到可疑的私网地址返回,通常它是会丢弃这样的DNS查询结果的,前提是你的dnsmasq启动参数中有 “--stop-dns-rebind” 这个参数。dnsmasq对这个参数的解释是:
--stop-dns-rebind
Reject (and log) addresses from upstream nameservers which are in the private IP ranges. This blocks an attack where a browser behind a firewall is used to probe machines on the local network.
翻译过来就是:丢弃并记录域名服务器返回的私有IP地址,它可以有效防止防火墙保护下的浏览器被用来探测内网的机器(或设备)。 回复 Salvisian 的帖子
我回去看看我dnsmasq启动参数中有没有这个,不过我对这个设置还不熟悉,谢谢你元老,(ding: 回复 Salvisian 的帖子
我看到了,我的TT里有个dnsmasq.conf文件,里面有“stop-dns-rebind”字样,呵呵,看来没什么问题了,再次感谢 搭车问下TT的日志
user.debug kernel: UDP: bad checksum. From 202.96.128.166:53 to 116.18.180.14:60013 ulen 103
user.debug kernel: UDP: bad checksum. From 202.96.128.166:53 to 116.18.180.14:55760 ulen 101
啥意思? 202.96.128.166是本地的DNS,这是出错么? 回复 lily2311 的帖子
帮你顶一下
页:
[1]