Nel riepilogo del registro di oggi dal mio server SSH, ho trovato la seguente voce interessante:
Illegal users from:
113.175.205.167 (localhost): 2 times
Effettuare una ricerca DNS su 113.175.205.167 si risolve in localhost (una ricerca DNS di localhost si risolve in 127.0.0.1 , come previsto). Che cosa potrebbe tentare di fare un utente malintenzionato con un record DNS così evidentemente non valido?
Un utente malintenzionato potrebbe provare a ignorare una whitelist basata su hostname sul tuo server.
In uno scenario ingenuo, potresti configurare SSH o un firewall per consentire solo le connessioni da "localhost" , con l'intenzione di bloccare tutte le macchine remote per motivi di sicurezza.
Un server SSH smart riconoscerebbe che 113.175.205.167 è remoto e blocca il tentativo di connessione. Alla fine, risolverebbe localhost in 127.0.0.1 e vedrai che gli IP non corrispondono.
Tuttavia, un server con un'implementazione imperfetta potrebbe prima condurre una ricerca DNS inversa dell'IP, trovare la voce localhost e verificare che i nomi host corrispondano, consentendo così la connessione.
NB: la risoluzione di localhost in 127.0.0.1 è ovviamente eseguita internamente nella maggior parte dei casi, ignorando la query DNS (ad esempio osservandola in /etc/hosts ). Quindi, un server DNS dannoso non può facilmente attaccare viceversa risolvendo localhost su un IP arbitrario.
Qui, probabilmente non fa parte di un attacco, ma perché quell'IP si trova ad Hanoi e apparentemente, " Il Paese del Vietnam si risolve in Localhost ". La ragione sembra essere una tecnica superata per aggirare e -mail filtri antispam.
Leggi altre domande sui tag dns