Vlákno názorů k článku
Android přichází s podporou DNS-over-HTTP/3 od Ravise - > Cílem je zajistit uživatelům více soukromí při...

Ano, proc by se nemeli pouzivat verejne DNS s privatnimi adresami?

Ja mam treba verejne DNS i pro moje interni stroje. Kdyz to nekomu v necem pomuze, tak si posluz: mam tiskarnu na 192.168.1.61 a PC na 192.168.1.101. Diky verejnym DNS muzu interne testovat verejne platne certifikaty.

Google ma taky privatni rozsahy ve verejnem DNS.

Je to napsané v jednom z RFC. Ale ony se také privátní IP adresy nemají používat tak, jak se dnes používají – jako náhrada nedostatkových veřejných. Doba ale pokročila, nezbývá, než privátní IPv4 adresy používat špatně – a z toho pak plyne i porušení toho, že privátní IP adresy nemají být v DNS. Já to také používám a považuji to za nejmenší zlo. Přesně jak píšete, dají se na to např. vystavit důvěryhodné certifikáty.

Některé resolvery je dokonce záměrně filtrujou. Řekl bych, že to dokonce jednu chvilku dělal vodafone v mobilní síti, protože mi neresolvil dns dotaz ukazující do 10.0.0.0/8, která byla dostupná přes vpn. Zadáním IP adresy jsem se normálně na stroj připojil.

Ono by pak nebylo "od věci" mít třeba na své doméně něco jako "router.doma.name" s adresou "192.168.1.1" a odkazovat se na to na veřejné stránce nebo v e-mailu: Hleď, tady vidím na tvůj router - tak dobrej jsem hacker! Myslím, že úspěšnost by byla značná. ;oD

Trochu problém je v tom, že tak na veřejnost dáváte informace o své síti. Tedy nejen rozsah používaných adres, ale také třeba jména těch zařízení, což může být třeba: "router.doma.name", "laserjet.doma­.name", "raspberry...", "lednice...", "tvlg...", "aegpracka...", "ap...", "tplink...", "nas...", "webcam..." - a tím případnému útočníkovi dost zjednodušujete práci s vytipováním zranitelného zařízení a případně dodání malware na míru.
Nehledě na to, že ty adresy jsou pak universálně veřejně použitelné pro všechny, kteří si třeba dají tiskárnu/kame­ru/router na stejnou IP - třeba jen pro tu legraci, že mohou psát "webcam.doma.name" a nepotřebují na to ani vlastní doménu.

Jak útočník z DNS záznamu na veřejném DNS serveru, ve kterém je běžná privátní adresa pozná kudy se dostat do vaší sítě připojené přes nějakého běžného ISP?

A co myslíte pod "universálně veřejně použitelné" nerozumím už vůbec.

Předpokládá, že v té DNS bude "vedle" i nějaká veřejná IP adresa, třebas jako "www.doma.name" - a to by napovědět mohlo. Krom toho by šlo asi odposlechnout, odkud chodí na (obyčejné) DNS nejvíc dotazů.
Tím universálně veřejně použitelné myslím, že stačí dodržet stejné IP adresy ve "své" privátní síti (router = 192.168.1.1, tiskárna = 192.168.1.10, atd..) a pak můžete klidně přistoupit na "router.doma.name" a dostanete se - na svůj router (tiskárna obdobně...) Nepotřebujete mít "svou" doménu a přesto můžete využívat jména z "doma.name". To není nijak nebezpečné, ale jen zajímavé. Prostě taková legrácka... ;o)