全球主机交流论坛

标题: 一次出人意料而名留青史的DNS投毒攻击 [打印本页]
作者: davidsky2012    时间: 2021-10-28 00:59
标题: 一次出人意料而名留青史的DNS投毒攻击
转贴。让大家知道下现在一些攻击团队用的攻击手段。看看他们是怎么把我们的域名搞污染的。

https://zhuanlan.zhihu.com/p/92899876

虽然经过那次事件,这个漏洞更难被利用了,但还是无法完全避免被利用。时间一长攻击者总能攻击成功,能修改ISP的DNS服务器里任何域名对应的IP。

现在还有一些污染清洗服务,应该也是利用相同的原理,来把IP换回来的。可以解决部分的污染问题。

简而言之就是伪造区域DNS服务器和权威DNS服务器之间的通讯。当然,其中有一些难点,文章中也提到了,不过文中也说了一些技巧来绕过这些难点的方法。
作者: HOH    时间: 2021-10-28 01:02
过时的经验不算经验
作者: davidsky2012    时间: 2021-10-28 01:02
HOH 发表于 2021-10-28 01:02
过时的经验不算经验

漏洞现在仍旧能被利用,并没有过时。
作者: whiler    时间: 2021-10-28 01:39
本帖最后由 whiler 于 2021-10-28 01:42 编辑

仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DNS IP 关联起来验证可以避免被投毒,公网伪造源 IP 还是不容易的。
作者: davidsky2012    时间: 2021-10-28 02:24
whiler 发表于 2021-10-28 01:39
仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DN ...

嗯,不过能伪造源IP的话,时间一长还是能碰撞到正确的端口和QID的。
作者: iks    时间: 2021-10-28 08:42
Amazon Route 53 就曾被这样攻击过,但给段加上 RPKI 此类攻击就无效了
作者: 欧阳逍遥    时间: 2021-10-28 08:47
这个并不是污染域名的。。。。。  只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很好的防护搞不了。   比如这类 127   或者返回 0.0.0.0 的, 只是各地isp dns 会返回这个。
爬虫的蜘蛛和权威dns解析还会保持正常。

现在所知道的手段。  1. 被墙域名解析到目的站点  2. http  post 违禁词 (短期墙IP 和域名,长时间会引起dns污染) 3. dns 投毒 4. 不经过源站 改host到攻击者伪装的机器上,强行撞墙, 只是听说 没有实际遇到过。
作者: openshit    时间: 2021-10-28 08:50
这给我攻击不是每天都发生吗?
作者: davidsky2012    时间: 2021-10-28 10:36
欧阳逍遥 发表于 2021-10-28 08:47
这个并不是污染域名的。。。。。  只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很 ...

是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns 查询请求,攻击自然无从谈起。
虽然说127.0.0.1之类的有可能会被防护,但攻击者可以换成任意IP。所以这类防护可以很容易被突破的。

另外,虽然这个属于区域范围内的 isp dns 投毒,和墙的污染还是不同,直接使用国外 dns 就能避免被投毒。不过这个应该不属于假象,毕竟绝大多数上网的普通人,用的就是 isp 分配的 dns ,被投毒也是实实在在的。

最后你说的“只是听说 没有实际遇到过”,只是指第4条对吗?前2条经过测试确实可行,第3条也有理论依据,唯独第4条确实只是道听途说,实际操作起来有很多问题。
作者: 欧阳逍遥    时间: 2021-10-28 10:53
davidsky2012 发表于 2021-10-28 10:36
是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns  ...

我说的 假象,不是说攻击不成立, 只是让别人误认为是 污染了,普通用户访问肯定是失败的。 但是可以通过 301 来救。    真正的污染, 需要 dns 清洗,成本还是比较高的,而且也只是缓解,不能解决。

第四条 我确实没遇到过。 其他几个都是碰到过。 有些可以防御,有些不行。
作者: mjjok    时间: 2021-10-28 11:35
反正对一般人都是无解,了解这个也没用
作者: 88170351    时间: 2021-10-28 11:35
还能用这个啊



欢迎光临 全球主机交流论坛 (https://91ai.net/) Powered by Discuz! X3.4