Im folgenden Szenario wähle ich den klassischen DNS-Rebinding-Angriff, der eine Full-Bogon-Adresse (also ein Präfix, das im globalen BGP-Routing nie auftaucht) als Sprungbrett benutzt. Er illustriert exemplarisch, weshalb ein Resolver zwingend die Team-Cymru-Bogon-Liste […]
Nachfolgend skizziere ich einen prototypischen Angriffspfad, bei dem der Angreifer zwar keinen neuen, verdächtigen Domain-Namen registriert, wohl aber eine bereits routbare, aber reputationsbelastete IP-Adresse in Szene setzt. Ein reiner Domain-Filter (AdGuard o. […]
Sicherheit entsteht, wenn man die richtigen Türen abschliesst, bevor der Einbrecher weiss, dass es sie gibt. Seit mehreren Jahren betreibe ich ein zweistufiges DNS-Resolver-Design: Mit dieser Grundarchitektur eliminiere ich bereits 90 % […]