一次出人意料而名留青史的DNS投毒攻击

nulerimo · 发表于 2022-3-22 23:41:38

转贴。让大家知道下现在一些攻击团队用的攻击手段。看看他们是怎么把我们的域名搞污染的。

https://zhuanlan.zhihu.com/p/92899876

虽然经过那次事件，这个漏洞更难被利用了，但还是无法完全避免被利用。时间一长攻击者总能攻击成功，能修改ISP的DNS服务器里任何域名对应的IP。

现在还有一些污染清洗服务，应该也是利用相同的原理，来把IP换回来的。可以解决部分的污染问题。

简而言之就是伪造区域DNS服务器和权威DNS服务器之间的通讯。当然，其中有一些难点，文章中也提到了，不过文中也说了一些技巧来绕过这些难点的方法。

netren · 发表于 2022-3-22 23:42:17

我说的假象，不是说攻击不成立，只是让别人误认为是污染了，普通用户访问肯定是失败的。但是可以通过 301 来救。真正的污染，需要 dns 清洗，成本还是比较高的，而且也只是缓解，不能解决。

第四条我确实没遇到过。其他几个都是碰到过。有些可以防御，有些不行。

Nutsemossymuh · 发表于 2022-3-22 23:42:48

过时的经验不算经验

灌水王 · 发表于 2022-3-22 23:42:58

漏洞现在仍旧能被利用，并没有过时。

灌水王 · 发表于 2022-3-22 23:43:30

仔细了原文两遍，受益良多。
知道 LDNS 端口后，任何主机都可以向这个端口发送数据，LDNS 将 QID 和权威 DNS IP 关联起来验证可以避免被投毒，公网伪造源 IP 还是不容易的。

babalangzi · 发表于 2022-3-22 23:43:51

嗯，不过能伪造源IP的话，时间一长还是能碰撞到正确的端口和QID的。

灌水王 · 发表于 2022-3-22 23:44:36

Amazon Route 53 就曾被这样攻击过，但给段加上 RPKI 此类攻击就无效了

灌水王 · 发表于 2022-3-22 23:45:14

这个并不是污染域名的。。。。。只是造成一个被污染的假象，其实只能攻击各地 isp 的 dns
权威的都有很好的防护搞不了。比如这类 127 或者返回 0.0.0.0 的，只是各地isp dns 会返回这个。
爬虫的蜘蛛和权威dns解析还会保持正常。

现在所知道的手段。 1. 被墙域名解析到目的站点 2. http post 违禁词（短期墙IP 和域名，长时间会引起dns污染） 3. dns 投毒 4. 不经过源站改host到攻击者伪装的机器上，强行撞墙，只是听说没有实际遇到过。

灌水王 · 发表于 2022-3-22 23:46:13

这给我攻击不是每天都发生吗？

灌水王 · 发表于 2022-3-22 23:46:45

是的，这篇文章写的本来就是攻击各地 isp 的递归 dns （LDNS）的。权威 DNS 服务器根本不会往外发起 dns 查询请求，攻击自然无从谈起。
虽然说127.0.0.1之类的有可能会被防护，但攻击者可以换成任意IP。所以这类防护可以很容易被突破的。

另外，虽然这个属于区域范围内的 isp dns 投毒，和墙的污染还是不同，直接使用国外 dns 就能避免被投毒。不过这个应该不属于假象，毕竟绝大多数上网的普通人，用的就是 isp 分配的 dns ，被投毒也是实实在在的。

最后你说的“只是听说没有实际遇到过”，只是指第4条对吗？前2条经过测试确实可行，第3条也有理论依据，唯独第4条确实只是道听途说，实际操作起来有很多问题。