Как защитить поддомены от сканирования?

Question

[RR40]

Добрый день!

Озадачился вопросом, существуют ли возможные решения для того, чтобы скрыть поддомены на основном доменном имени от сканирования? То есть скрыть "А" записи от прямого просмотра, если я, скажем, имею поддомены a.domain.com, b.domain.com и так далее.

Answer 1

[Corp_Habra_Clients]

Можно только блокировать доступ к IP адресам A записей поддоменов, а скрыть сами записи нельзя. Или можно например сделать не b.domain.com, а myfgfqt.domain.com. Программы по перебору поддоменов как правила не используют сложные названия или процесс бутфорсинга будет идти до 4 дней.

Comments

[RR40]

Спасибо за ответ! Скажите, я правильно понимаю, что зная доменное имя нельзя быстро и наверняка установить все поддомены, которые зарегистрированы в данном домене?

[Corp_Habra_Clients]

RR40,

Скажите, я правильно понимаю, что зная доменное имя нельзя быстро и наверняка установить все поддомены, которые зарегистрированы в данном домене?

Нельзя установить поддомены по доменному имени. Их можно только вычислить методом перебора различных вариантов, но если поддомены сложные, то на это может уйти от 4 до 10 дней (в зависимости от возможностей переборщика). Да и врядли программы по подбору поддоменов заню сложные варианты типа: myfgffrqyt.domain.com!

Answer 2

[Александр Черных]

скрыть "А" записи от прямого просмотра

это из настроек ДНС. Трансфер зоны domain.com должен быть разрешен только для секондари днс-сервера и запрещен для всех остальных. Если у Вас так и есть, тогда все норм

А сканируют по ip. В этом случае смотрим на fail2ban

Comments

[RR40]

Спасибо за ответ, скажите, а где производится настройка "трансфера зоны domain.com для secondary DNS сервера" ?

[Александр Черных]

если днс у хостера/регистратора, то там уже все настроено хостером/регистратором