谷姐:我们都是谷歌迷
We are all Google fans

一次出人意料而名留青史的DNS投毒攻击-davidsky2012

转贴。让大家知道下现在一些攻击团队用的攻击手段。看看他们是怎么把我们的域名搞污染的。

https://zhuanlan.zhihu.com/p/92899876

虽然经过那次事件,这个漏洞更难被利用了,但还是无法完全避免被利用。时间一长攻击者总能攻击成功,能修改ISP的DNS服务器里任何域名对应的IP。

现在还有一些污染清洗服务,应该也是利用相同的原理,来把IP换回来的。可以解决部分的污染问题。

简而言之就是伪造区域DNS服务器和权威DNS服务器之间的通讯。当然,其中有一些难点,文章中也提到了,不过文中也说了一些技巧来绕过这些难点的方法。

热议
2楼 HOH 10小时前

过时的经验不算经验

3楼 davidsky2012 10小时前

过时的经验不算经验

漏洞现在仍旧能被利用,并没有过时。

4楼 whiler 9小时前

仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DNS IP 关联起来验证可以避免被投毒,公网伪造源 IP 还是不容易的。

5楼 davidsky2012 8小时前

仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DN …

嗯,不过能伪造源IP的话,时间一长还是能碰撞到正确的端口和QID的。

6楼 iks 2小时前

Amazon Route 53 就曾被这样攻击过,但给段加上 RPKI 此类攻击就无效了

7楼 欧阳逍遥 2小时前

这个并不是污染域名的。。。。。只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很好的防护搞不了。 比如这类 127 或者返回 0.0.0.0 的, 只是各地isp dns 会返回这个。
爬虫的蜘蛛和权威dns解析还会保持正常。

现在所知道的手段。1. 被墙域名解析到目的站点2. httppost 违禁词 (短期墙IP 和域名,长时间会引起dns污染) 3. dns 投毒 4. 不经过源站 改host到攻击者伪装的机器上,强行撞墙, 只是听说 没有实际遇到过。

8楼 openshit 2小时前

这给我攻击不是每天都发生吗?

9楼 davidsky2012 半小时前

这个并不是污染域名的。。。。。只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很 …

是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns 查询请求,攻击自然无从谈起。
虽然说127.0.0.1之类的有可能会被防护,但攻击者可以换成任意IP。所以这类防护可以很容易被突破的。

另外,虽然这个属于区域范围内的 isp dns 投毒,和墙的污染还是不同,直接使用国外 dns 就能避免被投毒。不过这个应该不属于假象,毕竟绝大多数上网的普通人,用的就是 isp 分配的 dns ,被投毒也是实实在在的。

最后你说的“只是听说 没有实际遇到过”,只是指第4条对吗?前2条经过测试确实可行,第3条也有理论依据,唯独第4条确实只是道听途说,实际操作起来有很多问题。

10楼 欧阳逍遥 15分钟前

是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns…

我说的 假象,不是说攻击不成立, 只是让别人误认为是 污染了,普通用户访问肯定是失败的。 但是可以通过 301 来救。 真正的污染, 需要 dns 清洗,成本还是比较高的,而且也只是缓解,不能解决。

第四条 我确实没遇到过。 其他几个都是碰到过。 有些可以防御,有些不行。

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

未经谷姐允许不得转载:谷姐靓号网 » 一次出人意料而名留青史的DNS投毒攻击-davidsky2012
分享到: 生成海报

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

买Google Voice认准【谷姐靓号网】

Google Voice靓号列表Google Voice自助购买
切换注册

登录

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活