Frage sshd warning, "MÖGLICHER BREAK-IN VERSUCH!" für fehlgeschlagenes Reverse-DNS


Wenn ich irgendwo SSH bekomme, bekomme ich so etwas in den Logs:

sshd[16734]: reverse mapping checking getaddrinfo for
    1.2.3.4.crummyisp.net [1.2.3.4] failed - POSSIBLE BREAK-IN ATTEMPT!

Und es ist richtig: wenn ich es tue host 1.2.3.4 es kehrt zurück 1.2.3.4.crummyisp.net, aber wenn ich es mache host 1.2.3.4.crummyisp.net es ist nicht gefunden.

Ich habe zwei Fragen:

  1. Welche Sicherheitsbedrohung gibt es? Wie könnte jemand einen Einweg-DNS fälschen? auf eine bedrohliche Weise?

  2. Habe ich einen Rückgriff darauf, dies zu beheben? Ich werde meinem ISP einen Fehlerbericht senden, aber wer weiß, wohin das geht.


6
2017-10-10 16:03


Ursprung




Antworten:


Welche Sicherheitsbedrohung gibt es?
  Wie könnte irgendjemand einen einseitigen DNS auf eine bedrohliche Weise fälschen?

Jede Partei, die die Kontrolle über eine DNS-Reverse-Zone hat, kann ihre PTR-Datensätze auf das einstellen, was sie wollen. Es ist denkbar, dass jemand seinen PTR-Record einstellen kann legithost.example.comund dann versuchen Sie, sich brutal in Ihre Umgebung zu drängen.

Wenn Sie fettfingrige Benutzer haben, die dazu neigen, ihre Passwörter falsch zu tippen, und ihnen an Anti-Brute-Force-Maßnahmen mangelt, gibt es eine Reihe von Log-Einträgen für fehlgeschlagene Passwörter von legithost.example.com könnte als "Oh, das ist nur Bob - er kann nicht tippen, um sein Leben zu retten entlassen werden!" und einem Angreifer die Möglichkeit geben, Passwörter zu erraten, bis sie eindringen.

(Der theoretische Sicherheitsvorteil dieser Nachricht ist, dass der Angreifer kippen Erstellen / Ändern der A aufnehmen für legithost.example.com in Ihrer DNS-Zone, so kann er die Warnung nicht zum Schweigen bringen - ohne einen DNS-Poisoning-Angriff irgendeiner Art ...


Habe ich einen Rückgriff darauf, dies zu beheben?

Option 1: Repariere deinen DNS so den Forward (A) und umgekehrt (PTR) Datensätze stimmen überein.
Option 2: Hinzufügen UseDNS no zu Ihrem System sshd_config Datei, um die Warnung zu schließen.


7
2017-10-10 16:10



Warte, also kannst du einfach aufstehen und sagen: "Ja, meine IP von 1.2.3.4 ist microsoft.com. Total." ‽ - rking
@ rking Ja, wenn Sie die Reverse Zone für 1.2.3.4 (3.2.1.in-addr.arpa) - voretaq7