Eu tenho um software que possui nossos servidores de borda / DNS codificados neles, as consultas DNS retornadas dos servidores DNS não estão sendo mascaradas corretamente. Eu preciso que as entradas DNS que são retornadas das solicitações de consulta BIND sejam mascaradas com o servidor de origem que solicitou a consulta e não o IP dos servidores DNS. A razão pela qual eu quero o mascaramento é que se um invasor se apossar de um dos IPs do meu servidor de borda e do DDoS, eles não poderão obter os outros IPs e DDoS de servidores ou atacá-los também.
O diagrama abaixo ilustra uma versão simples do que estou tentando realizar.
Existem dois tipos de formas pelas quais os usuários podem se conectar:
OR
Problema:
Sequência de eventos:
Problema principal:
O IP do servidor de borda é incorporado ao pacote de resposta do DNS e precisa ser mascarado para o IP do servidor de borda original ao qual o usuário está conectado
SaídadeexemplodepesquisadeDNS:
Pedidodepesquisa(errado):
nslookupgoogle.caServer:UnKnownAddress:2.2.2.2Name:google.caAddress:1.1.1.1
Solicitaçãodepesquisaquedeveestarsendoexibida:
nslookupgoogle.caServer:UnKnownAddress:2.2.2.2Name:google.caAddress:2.2.2.2
Abaixoestáumaversãoemgrandeescaladarede/sistemaqueéconstruída.
Osescritóriospodemterumoumaisservidores,dependendodequantosusuários.
(Issoéapenasilustradoparadarumaideiadecomoeleprecisaserdimensionado)
O que eu tentei:
Teoria de potenciais soluções: