全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 3087|回复: 12

[疑问] 一次出人意料而名留青史的DNS投毒攻击

[复制链接]
发表于 2021-10-28 00:59:30 | 显示全部楼层 |阅读模式
转贴。让大家知道下现在一些攻击团队用的攻击手段。看看他们是怎么把我们的域名搞污染的。

https://zhuanlan.zhihu.com/p/92899876

虽然经过那次事件,这个漏洞更难被利用了,但还是无法完全避免被利用。时间一长攻击者总能攻击成功,能修改ISP的DNS服务器里任何域名对应的IP。

现在还有一些污染清洗服务,应该也是利用相同的原理,来把IP换回来的。可以解决部分的污染问题。

简而言之就是伪造区域DNS服务器和权威DNS服务器之间的通讯。当然,其中有一些难点,文章中也提到了,不过文中也说了一些技巧来绕过这些难点的方法。
发表于 2021-10-28 10:53:18 | 显示全部楼层
davidsky2012 发表于 2021-10-28 10:36
是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns  ...

我说的 假象,不是说攻击不成立, 只是让别人误认为是 污染了,普通用户访问肯定是失败的。 但是可以通过 301 来救。    真正的污染, 需要 dns 清洗,成本还是比较高的,而且也只是缓解,不能解决。

第四条 我确实没遇到过。 其他几个都是碰到过。 有些可以防御,有些不行。

点评

没错!  发表于 2021-10-28 11:16
发表于 2021-10-28 01:02:05 | 显示全部楼层
过时的经验不算经验
 楼主| 发表于 2021-10-28 01:02:45 | 显示全部楼层
HOH 发表于 2021-10-28 01:02
过时的经验不算经验

漏洞现在仍旧能被利用,并没有过时。
发表于 2021-10-28 01:39:40 | 显示全部楼层
本帖最后由 whiler 于 2021-10-28 01:42 编辑

仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DNS IP 关联起来验证可以避免被投毒,公网伪造源 IP 还是不容易的。
 楼主| 发表于 2021-10-28 02:24:13 | 显示全部楼层
whiler 发表于 2021-10-28 01:39
仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DN ...

嗯,不过能伪造源IP的话,时间一长还是能碰撞到正确的端口和QID的。
发表于 2021-10-28 08:42:27 来自手机 | 显示全部楼层
Amazon Route 53 就曾被这样攻击过,但给段加上 RPKI 此类攻击就无效了
发表于 2021-10-28 08:47:17 | 显示全部楼层
这个并不是污染域名的。。。。。  只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很好的防护搞不了。   比如这类 127   或者返回 0.0.0.0 的, 只是各地isp dns 会返回这个。
爬虫的蜘蛛和权威dns解析还会保持正常。

现在所知道的手段。  1. 被墙域名解析到目的站点  2. http  post 违禁词 (短期墙IP 和域名,长时间会引起dns污染) 3. dns 投毒 4. 不经过源站 改host到攻击者伪装的机器上,强行撞墙, 只是听说 没有实际遇到过。
发表于 2021-10-28 08:50:39 来自手机 | 显示全部楼层
这给我攻击不是每天都发生吗?
 楼主| 发表于 2021-10-28 10:36:41 | 显示全部楼层
欧阳逍遥 发表于 2021-10-28 08:47
这个并不是污染域名的。。。。。  只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很 ...

是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns 查询请求,攻击自然无从谈起。
虽然说127.0.0.1之类的有可能会被防护,但攻击者可以换成任意IP。所以这类防护可以很容易被突破的。

另外,虽然这个属于区域范围内的 isp dns 投毒,和墙的污染还是不同,直接使用国外 dns 就能避免被投毒。不过这个应该不属于假象,毕竟绝大多数上网的普通人,用的就是 isp 分配的 dns ,被投毒也是实实在在的。

最后你说的“只是听说 没有实际遇到过”,只是指第4条对吗?前2条经过测试确实可行,第3条也有理论依据,唯独第4条确实只是道听途说,实际操作起来有很多问题。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-29 03:56 , Processed in 0.072445 second(s), 11 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表