刷TT的路由器日志出现possible DNS-rebind attack detected

xyrs2010

我的长虹G121-T路由器，刷的Tomato v1.27.0000 -R1 K26 USB Std，最近系统日志中出现了一段文字：“unknown daemon.warn dnsmasq[501]: possible DNS-rebind attack detected”，差不多是在6分钟之内出现的，请教各位是什么意思？
哪里设置有问题吗？

Salvisian

不是你的设置有问题，而是你的ISP的DNS服务器在捣鬼，它在解析域名的时候返回的是你内网的IP地址，动机相当不纯。

55385241

学习学习。。。

xyrs2010

回复 Salvisian 的帖子

能否详细讲解一下具体是什么意思呢，我可以采取什么措施不？谢谢你

Salvisian

举个简单的例子吧，比如你用浏览器访问某个网站（比如www.aaa.com），首先要做的就是去DNS那里查询www.aaa.com对应的IP地址是多少，正常的情况应该返回www.aaa.com在internet 的确切的公网地址，如果DNS使点心眼，它返回一个你内网使用的私有地址（比如家庭使用的路由器默认IP地址通常是192.168.1.1，而且很多人的路由器密码从出厂设定就不曾改过，那么你的浏览器就会错误的使用这个内网地址去访问内网的资源，如果这个过程是配合某些恶意脚本，再加上精心炮制的流程，你内网的秘密就能被有偷窥癖的人轻易获得了。要知道我们的ISP对我们家里的网络环境是很感兴趣的。

你的路由器使用dnsmasq这个程序来做本地DNS缓存，它显示“possible DNS-rebind attack detected”说明它已经捕获到可疑的私网地址返回，通常它是会丢弃这样的DNS查询结果的，前提是你的dnsmasq启动参数中有 “--stop-dns-rebind” 这个参数。dnsmasq对这个参数的解释是：
--stop-dns-rebind
Reject (and log) addresses from upstream nameservers which are in the private IP ranges. This blocks an attack where a browser behind a firewall is used to probe machines on the local network.
翻译过来就是：丢弃并记录域名服务器返回的私有IP地址，它可以有效防止防火墙保护下的浏览器被用来探测内网的机器（或设备）。

xyrs2010

回复 Salvisian 的帖子

我回去看看我dnsmasq启动参数中有没有这个，不过我对这个设置还不熟悉，谢谢你元老，(ding:

xyrs2010

回复 Salvisian 的帖子

我看到了，我的TT里有个dnsmasq.conf文件，里面有“stop-dns-rebind”字样，呵呵，看来没什么问题了，再次感谢

lily2311

搭车问下TT的日志
user.debug kernel: UDP: bad checksum. From 202.96.128.166:53 to 116.18.180.14:60013 ulen 103
user.debug kernel: UDP: bad checksum. From 202.96.128.166:53 to 116.18.180.14:55760 ulen 101
啥意思？ 202.96.128.166是本地的DNS，这是出错么？

xyrs2010

回复 lily2311 的帖子

帮你顶一下