Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Inzicht in dns verzoeken

12-12-2020, 21:09 door Anoniem, 19 reacties
Ik kan de webverzoeken voor mijn domein monitoren, ik kan tcpdumpen op mijn server om te kijken wie er allemaal aankloppen op de verschillende tcp/udp poorten. Maar hoe krijg ik inzicht in domeinnaam bevragingen (DNS verzoeken) voor mijn domeinnaam? De vraag "waarom zou je dat willen" snap ik maar kan ik hier lastig uitleggen.

Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Reacties (19)
12-12-2020, 22:40 door Anoniem
Of er DNS hosters zijn die het voor je willen doen - dns queries rapporteren - weet ik niet .
Ik verwacht het niet zo snel - het kan voor populaire domeinen een heel grote bak met data zijn, en ik verwacht dat er weinig vraag is naar zoiets als managed service.
Degenen die het willen (of nodig hebben, zoals CDNs) hosten hun DNS dan gewoon zelf.

Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .

De meeste registries eisen twee DNS servers. Eén extra VPSje (of twee, als je het nu zonder eigen server doet) kost je de kop niet.

Als je tevreden bent met een steekproef van queries kun je je ook beperken tot het zelf runnen van één DNS server - je ziet dan 1/<aantal NS records van je domein> van het aantal queries.
(met wat caveats dat resolvers een voorkeur bijhouden voor de 'beste' authoritieve server voor een domain . Je 'meet' server op een brak thuislijntje hosten geeft je dan geen 1/<N> steekproef maar een kleiner percentage. )
In tegenstelling tot MX (en SRV) records kun je geen prioriteit instellen bij de NS records .


Waarom is het 'waarom' trouwens lastig uitleggen ?
Gegarandeerd is je idee of reden al lang door iemand gedaan . Prima - goed om ook te doen, leer je veel van,maar echt niet geheim/nieuw/baanbrekend/onontdekt . En mocht je doel ook op een andere/makkelijkers manier bereikt kunnen worden , redelijke kans dat iemand je een tip kan geven.
12-12-2020, 23:55 door MathFox
Door Anoniem: Ik kan de webverzoeken voor mijn domein monitoren, ik kan tcpdumpen op mijn server om te kijken wie er allemaal aankloppen op de verschillende tcp/udp poorten. Maar hoe krijg ik inzicht in domeinnaam bevragingen (DNS verzoeken) voor mijn domeinnaam? De vraag "waarom zou je dat willen" snap ik maar kan ik hier lastig uitleggen.

Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?
Als de partij via wie je je domein geregistreerd hebt het toestaat (en de grote name registrars laten dat allemaal toe) kun je je eigen zone beheren en je eigen authoritive DNS servers draaien. Ja, servers; een backup server bij een andere ISP dan de hoofdserver is het gevraagde minimum.
De bekendste DNS server heet 'bind', maar ik weet niet in hoeverre de logging opties geschikt zijn voor jouw toepassing. Een ander punt is dat het DNS protocol heel licht is (UDP-request/reply) waardoor reguest logging een aanzienlijke verzwaring van de processor load kan betekenen.
12-12-2020, 23:56 door Briolet
Zelf een DNS server runnen die je domein beheert. Alle verzoeken kun je dan loggen. Maar dan nog zul je er veel missen omdat er veel uit caches gehaald wordt bij de DNS servers die de info bij jouw server ophalen.
13-12-2020, 04:40 door Anoniem
Door Briolet: Zelf een DNS server runnen die je domein beheert. Alle verzoeken kun je dan loggen. Maar dan nog zul je er veel missen omdat er veel uit caches gehaald wordt bij de DNS servers die de info bij jouw server ophalen.

Klopt.

Wat je wel kunt doen is TTL van het record extreem laag zetten, zodat niets wordt gecached (in theorie).
13-12-2020, 08:46 door Anoniem
Waarom het ‘waarom’ niet uitgelegd kan worden blijft bij mij een raadsel. Wat is er nu zo geheim aan?
Of heeft OP iets nieuws ontdekt dat nog niet bekend gemaakt mag worden, maar valt of staat met (oa.) inzicht in DNS verzoeken?
13-12-2020, 11:37 door Anoniem
Door Briolet: Zelf een DNS server runnen die je domein beheert. Alle verzoeken kun je dan loggen. Maar dan nog zul je er veel missen omdat er veel uit caches gehaald wordt bij de DNS servers die de info bij jouw server ophalen.
+1
13-12-2020, 12:13 door Anoniem
Kijk eens met een DNS propagation checker.
luntrus
13-12-2020, 12:27 door MathFox
Door Anoniem: Waarom het ‘waarom’ niet uitgelegd kan worden blijft bij mij een raadsel. Wat is er nu zo geheim aan?
Of heeft OP iets nieuws ontdekt dat nog niet bekend gemaakt mag worden, maar valt of staat met (oa.) inzicht in DNS verzoeken?
Ik herinner me https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability maar ik hoop dat onze topic starter daar geen misbruik van gaat maken.
13-12-2020, 16:10 door Tintin and Milou
Door Anoniem: Ik kan de webverzoeken voor mijn domein monitoren, ik kan tcpdumpen op mijn server om te kijken wie er allemaal aankloppen op de verschillende tcp/udp poorten. Maar hoe krijg ik inzicht in domeinnaam bevragingen (DNS verzoeken) voor mijn domeinnaam? De vraag "waarom zou je dat willen" snap ik maar kan ik hier lastig uitleggen.

Wat is een makkelijke manier om zelf het inzicht te krijgen in de DNS-verzoeken? Zijn er authoritative DNS partijen die mijn records willen beheren en mij tevens inzicht geven in het de verzoeken?

Wel even een privacy impact doen. Want kan zomaar een AVG probleem voor je zijn of worden. Privacy kan een lastige zijn.

1)
Je zult toegang moeten krijgen de DNS servers die je domain hosten. Dat gaat je al niet lukken.

2)
Eventueel zoals vermeld je eigen DNS gaan hosten op een server. Vaak is het al wel nodig, dat je meerdere DNS servers hebt draaien.

3)
Wildcard DNS record toevoegen die naar je webserver verwijst en dan met rewrite rules dit wegschrijven in een logfile.
Nadeel: Pakt alleen http dns requests.
14-12-2020, 12:19 door Anoniem
Aantal links:

https://getdnsapi.net/query/
https://hackertarget.com/zone-transfer/
https://www.akamai.com/us/en/resources/visualizing-akamai/
https://check-host.net/check-dns?host=
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
https://dnsviz.net/
https://mxtoolbox.com/ met o.a. de supertool.

Weet dat malware ook invloed kan hebben op BIND.
Vergeet ook niet de verhullende werking van "de Cloud" in deze. (zgn. "security through obscurity").

Dus is alles wat je verteld wordt, ook feitelijk zo? Ja, dat kan, maar pas als je het zelf eerst heb vastgesteld.
Geloof dus niets en niemand zomaar op de blauwe ogen.

luntrus
14-12-2020, 14:15 door Anoniem
Door Anoniem: Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .

Echt niet, dan zie je (caching) nameservers van google, ziggo, KPN en de rest van de wereld binnen komen en dus niet ALLE queries.
14-12-2020, 14:23 door Anoniem
Ik weet niet wat je precies wil maar als je inzicht wilt kun je een eigen DNS inrichten, let op je ziet dan niet alle client queries wat je wel kan doen is bv voor het mailen naar je domein rfc 7208 inrichten en dan met name een macro maken: https://tools.ietf.org/html/rfc7208#page-28
Je creert dan een soort track en trace via SPF je ziet dan letterlijk WEL alle client IP's DNS queries die voor jou domein willen mailen langs komen in je DNS, dat weten maar weinigen en word gebruikt om misbruik op te sporen van spoofen van je domein.
14-12-2020, 14:58 door Anoniem
Het probleem is dat de poster niet wil zeggen waar het voor is, en het daardoor niet mogelijk is om een goed antwoord
te geven.
Als de vraag is "kan ik bekijken wie er precies welke namen in mijn domein opvragen en hoe vaak" dan is het antwoord
"NEE dat is niet mogelijk" (door de vele caching DNS resolvers op internet), maar al de vraag zou zijn "kan ik in de gaten
houden of er geprobeerd wordt subdomeinnamen op te vragen die ik niet geregistreerd heb", zonder aantallen en bron te
willen weten, dan kan het WEL. Door je eigen DNS server te draaien (al dan niet door iemand anders beheerd).

Zo zie je maar weer dat "doet er even niet toe waar ik het voor nodig heb" vaak tot onduidelijke situaties en onbruikbare
antwoorden zal leiden.
14-12-2020, 15:10 door Anoniem
Door Anoniem:
Door Anoniem: Maar waarom ga je niet gewoon zelf de authoritieve servers voor je domein draaien ?
Dan zie je alle queries langskomen en kun je loggen zoveel je wilt .

Echt niet, dan zie je (caching) nameservers van google, ziggo, KPN en de rest van de wereld binnen komen en dus niet ALLE queries.

Je ziet alle queries op de authoritieve servers. Duh.

Jammer TS verstoppertje speelt over de reden, maar alle queries die alle *clients* uitzetten is zelden relevant - maar alle queries die tenminste één keer van de authoritieve server moeten komen zien kan soms nuttig zijn.
(ff nog meer pedant doen : mensen met je domein in een hosts file zie je ook niet )
14-12-2020, 15:11 door Anoniem
Door Anoniem: Aantal links:

https://getdnsapi.net/query/
https://hackertarget.com/zone-transfer/
https://www.akamai.com/us/en/resources/visualizing-akamai/
https://check-host.net/check-dns?host=
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
https://dnsviz.net/
https://mxtoolbox.com/ met o.a. de supertool.

Weet dat malware ook invloed kan hebben op BIND.
Vergeet ook niet de verhullende werking van "de Cloud" in deze. (zgn. "security through obscurity").

Dus is alles wat je verteld wordt, ook feitelijk zo? Ja, dat kan, maar pas als je het zelf eerst heb vastgesteld.
Geloof dus niets en niemand zomaar op de blauwe ogen.

luntrus

(repost) - maar luntrus' link collectie heeft NIETS te maken met de vraag van TS en is daar geen antwoord op.

Ik denk dat luntrus de vraag niet begrepen heeft.
14-12-2020, 21:53 door Anoniem
De vraag valt ook niet te begrijpen en had niet gesteld hoeven te worden,
als OP zlf op stackoverflow had gezocht naar postings over DNS query log debugging
(later debugging weer uitschakelen).

#sockpuppet
15-12-2020, 00:58 door Anoniem
Door Anoniem: De vraag valt ook niet te begrijpen en had niet gesteld hoeven te worden,
als OP zlf op stackoverflow had gezocht naar postings over DNS query log debugging
(later debugging weer uitschakelen).

#sockpuppet

Die vragen van stackoverflow -en tip hoe je logging aanzet - zijn pas relevant als OP geregeld heeft om zelf zijn (?) authoritieve DNS servers te runnen.

OP vraagt of er dns hosters zijn die voor hem die logging willen aanzetten - waaruit je concludeert dat hij op moment zelf niet z'n servers draait.

Vandaar (mijn) eerste antwoord in de serie - ga eerst zelf je authoritieve dns server draaien. Dan kun je de logging (pas) aanzetten... . Het _hoe_ de logging aan te zetten volgt dan wel.
15-12-2020, 14:48 door Anoniem
Je kan ook je lokale router adres als DNS server laten opereren.
Vaak nog sneller ook.
15-12-2020, 16:38 door Anoniem
Door Anoniem: Je kan ook je lokale router adres als DNS server laten opereren.
Vaak nog sneller ook.

Je antwoord heeft ook niks met de vraag te maken.

Tip : leer het verschil tussen authoritieve DNS en DNS resolver.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.