一次出人意料而名留青史的DNS投毒攻击

[复制链接]
查看: 3791   回复: 9
发表于 2022-3-22 23:41:38 | 显示全部楼层 |阅读模式
转贴。让大家知道下现在一些攻击团队用的攻击手段。看看他们是怎么把我们的域名搞污染的。

https://zhuanlan.zhihu.com/p/92899876

虽然经过那次事件,这个漏洞更难被利用了,但还是无法完全避免被利用。时间一长攻击者总能攻击成功,能修改ISP的DNS服务器里任何域名对应的IP。

现在还有一些污染清洗服务,应该也是利用相同的原理,来把IP换回来的。可以解决部分的污染问题。

简而言之就是伪造区域DNS服务器和权威DNS服务器之间的通讯。当然,其中有一些难点,文章中也提到了,不过文中也说了一些技巧来绕过这些难点的方法。
回复

使用道具 举报

发表于 2022-3-22 23:42:17 | 显示全部楼层
我说的 假象,不是说攻击不成立, 只是让别人误认为是 污染了,普通用户访问肯定是失败的。 但是可以通过 301 来救。    真正的污染, 需要 dns 清洗,成本还是比较高的,而且也只是缓解,不能解决。

第四条 我确实没遇到过。 其他几个都是碰到过。 有些可以防御,有些不行。
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:42:48 | 显示全部楼层
过时的经验不算经验
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:42:58 | 显示全部楼层
漏洞现在仍旧能被利用,并没有过时。
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:43:30 | 显示全部楼层
仔细了原文两遍,受益良多。
知道 LDNS 端口后,任何主机都可以向这个端口发送数据,LDNS 将 QID 和权威 DNS IP 关联起来验证可以避免被投毒,公网伪造源 IP 还是不容易的。
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:43:51 | 显示全部楼层
嗯,不过能伪造源IP的话,时间一长还是能碰撞到正确的端口和QID的。
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:44:36 | 显示全部楼层
Amazon Route 53 就曾被这样攻击过,但给段加上 RPKI 此类攻击就无效了
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:45:14 | 显示全部楼层
这个并不是污染域名的。。。。。  只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很好的防护搞不了。   比如这类 127   或者返回 0.0.0.0 的, 只是各地isp dns 会返回这个。
爬虫的蜘蛛和权威dns解析还会保持正常。

现在所知道的手段。  1. 被墙域名解析到目的站点  2. http  post 违禁词 (短期墙IP 和域名,长时间会引起dns污染) 3. dns 投毒 4. 不经过源站 改host到攻击者伪装的机器上,强行撞墙, 只是听说 没有实际遇到过。
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:46:13 | 显示全部楼层
这给我攻击不是每天都发生吗?
回复 支持 反对

使用道具 举报

发表于 2022-3-22 23:46:45 | 显示全部楼层
是的,这篇文章写的本来就是攻击各地 isp 的递归 dns (LDNS)的。权威 DNS 服务器根本不会往外发起 dns 查询请求,攻击自然无从谈起。
虽然说127.0.0.1之类的有可能会被防护,但攻击者可以换成任意IP。所以这类防护可以很容易被突破的。

另外,虽然这个属于区域范围内的 isp dns 投毒,和墙的污染还是不同,直接使用国外 dns 就能避免被投毒。不过这个应该不属于假象,毕竟绝大多数上网的普通人,用的就是 isp 分配的 dns ,被投毒也是实实在在的。

最后你说的“只是听说 没有实际遇到过”,只是指第4条对吗?前2条经过测试确实可行,第3条也有理论依据,唯独第4条确实只是道听途说,实际操作起来有很多问题。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则