Black Hole DNS no servidor DNS do Windows

1

Estou procurando configurar nossos servidores DNS do Windows para algum tipo de operação de blackhole baseada em DNS. Idealmente, poderíamos usar feeds do MalwareDomains.com ou algo semelhante. Fiquei curioso sobre como alguém poderia configurar e implementar essa configuração. O fluxo de trabalho seria parecido com o seguinte:

  1. Script para baixar e analisar a lista de feeds
  2. Script para publicar a lista de feeds no DNS do Windows
  3. Conexões inválidas interrompidas devido a novas entradas de DNS

O desafio que estou tendo lida com a etapa 2. Não sei como publicar uma grande lista de entradas DNS no servidor DNS do Windows. Idealmente, isso funcionaria para o Server 2008 ou mais recente.

    
por John 01.04.2013 / 18:00

2 respostas

4

Para atacar # 2, "Script para publicar a lista de feeds no DNS do Windows", você provavelmente usará dnscmd em alguma capacidade. Você precisará usar alguns cmdlets do PowerShell (como get-content e write-host para possíveis exemplos) para cortar a lista de feeds nos bits de informações pertinentes à criação de um registro A ou CNAME em seu próprio servidor DNS. Em seguida, cole as informações pertinentes em variáveis para que dnscmd trabalhe.

Para atacar o # 3, você criaria registros que direcionam as pessoas de maneira incorreta. Portanto, A registra esse ponto para um endereço IP sob seu controle (talvez um servidor da web que você controla que diz "Você foi bloqueado! Espere uma chamada de HR lol !! 1" ) ou basta enviar pessoas para 0.0.0.0. Outra opção é CNAME dos domínios para um servidor da web que você controla.

Em vez de construir isso sozinho, considere ficar de pé nas costas de alguém que fez muito desse trabalho para você: Ferramenta de domínios Sinkhole do servidor DNS do Windows . Esse é um script do PowerShell apoiado pelo SANS Institute que gerenciava listas negras de DNS em um servidor DNS do Windows. Existe um projeto irmão chamado Script de arquivo do Windows HOSTS para bloquear domínios inválidos que, previsivelmente, usa arquivos hosts em máquinas locais, o que soa como icky, mas talvez um GPO para enviá-los para seus clientes Windows possa ser usado (desde que as permissões de usuários proíbam a falsificação de arquivos de hosts e também suponha que seu Active Directory controla todos os PCs para os quais você deseja usar a lista negra.

Quanto a relatórios sobre os bloqueios, isso é um pouco mais difícil, pois o DNS do Windows realmente não tem relatórios de resposta por domínio encontrados. O que poderia ser vantajoso para você seria CNAME nos domínios da lista negra e, em seguida, usar as faculdades do servidor da Web para que você CNAME os domínios da lista negra como um meio de verificar quem está fazendo o quê. Você poderia desconstruir teorocicamente as solicitações HTTP recebidas com base no domínio de referência e no endereço IP de origem, além de gerar um conjunto considerável de relatórios interessantes. O AWStats pode até ser de alguma ajuda imediata.

    
por 01.04.2013 / 22:48
0

Há instruções para isso no site que você mencionou: link e formato de arquivo especial para esta instrução: link

    
por 01.04.2013 / 20:54