DNS缓存污染.docx

书目DNS存污染1一.DNS体系简介1常见域名解析M1常见DNS布号1二.DNS.存污染2什么是DNS存污染2DNS存污染攻击所受限制3Transaction11)3M4NATMW口!机化的干胡5生日攻击6ClassicGluePoison7BailyvickChock8KaalnskiAttack8小结9三.MX*ioRecursiveServer斑:护Centralcache,以此降低网络与和关效劳器的负我(RFC10345,1).二.DNS缓存污染2.1 什么是DNS缓存污染在1.2中提到RecursiveServer维护Centralcache.就是将来自响应报文的各种RR以某种形式媛存起来,下次遇上SlUbReSoIVer向自己发出恳求时，先在本地姬存里找寻相应的RR没有找到的状况下才向FOreignNtuneSerVer发出恳求.Internet上攻击者有方法伪造一个报文，使之看起来像是从FOreignNameSerVer发往RecursiveServer的响应报文,其中包含的RR处攻击者指定的恶意内容，这样的RR被RecursiveSerVer承受并援存,我们称之发生了DNS缓存污染.假设192.168.1.1是内网的DNSServer,客户机F:vip合作这个过程一般意味特恩求解析的ARRt攻击者UJ以通过慑存污染攻击的缓存中出现.A10.17.2.,结果全部运用192.168.1.1做DNSServer的客户机访问时实际访问的是10.17.2.1.在馈存中置入伪造的ARR是最干脆的攻击方式，还可以置入CNAMERR,NSRR、MXRR等各种RR，这完全取决于攻击者的G终目的，EndUser1.ocalDNSNAT/FirewallQ:ID:45870SRCPORT:1025InternetDNS图中CacheServer班机化/就PORT(54132/UDP),但DxS总求报文经过NT设备后源PORT变成相对静态的1025/UDI，位于Interneti侧的攻击者伪造响应报文时只需指定目标端口为1025/UDP即可，NAT设备会自动转换成54132/UDP。2.6生日攻击假如DXSServer允许并发向外查询同一QWME,就很简沽遭致生口攻击，生日攻击的最简描述是，23个人中有两个人生日一样的概率接近1/2.k等干365时,IW述结果等于于23.假如Attacker能迫使DNSServer并发恳求同样的QuestionSeCtion(QNAME.QTYPE.QC1.ASS),就可以利用生H攻击原理对TranSaCtionID.源PORT进展碰撞.假如简洁套用前述公式的话(事实上不能简洁套用k等于6553665536,公式计算结果为78643,就是说同时发78643个响应报文.TransactionID、就PoRTi起命中的概率接近1/2.同时发送更多的响应报文.TransactionID、瀛PORT一起命中的概率就更大.CERT#457875介绍了更多内容.Q:google.co<nSfCPOn:14773ID：49265Qgooglecom三oQQigoogle.msrcport:8573Al.2.3.4srcpat:222ID:4524Al.2.3.4srcport:2220ID:4524A12.3.4fcpofF-222Z.2ID:1293.Qrgoogtexom,srcporl:2222×JjD:4524一/EVI1.图中攻击者向CacheServer并发恳求解析同一QNAME.CacheServer也就向AuthServer并发恩求解析同一QNAME.与此同时攻击者伪造大量响应报文以求产生TransactionID、源PORT碰撞.与2.4中单纯穷举猜想TranSaCtiOnID、源PORT不河,此次来自CaCheServer的杳询为求有多个，而伪造的响应报文只要有一个被CaCheSerYer承受就完成了攻击。|:|WUnbound和PowerDXS可以制止并发向外查询同一QNAME,2.7ClassicGluePoison1997年出现了最早的关于I>NS欺瞒的平安公告,针对下述攻击:QuestionSectionID:54321QNAME:AnswerSectionA193.0.0.195<ttl=172800)AuthoritySectionNSns-NSns-e×t.isc.orgAdditionalSectionwww.paypaI.C1.2.3.4<ttl=FOREVER)完全不相干NSns.myeviI.Cofl)恳求解析,响应报文给了正常的ARh但在AdditiOnalSeCtiOn中附带完全不相干的两个RR,这两个RR随AnswerSection中的ARR一起进入CacheServer的缓存。下次DNSClientl'lCacheServer恳求斛析时，就会得到伪选的1.2.342.8BailywickCheck为了应付1997年出现的ClaSSiCGIUCPoison.DNS实现进展了所谓的“BailywickCheck",所谓"BnilywickCheCk”是指承受位于Authority,AdditionalSection中的RR时所进展的一种平安检性，比方QXAYE是a,那么仅当这些RR形如*时才承受，又比方QNWE是&b,那么仅当这"RR形如*.b时才承受，应用"BaiIywickCheck"之后，2.7中的攻击报文就无法进展级存污染了，因为QvUIE是，AdditionalSection中的RRowner不符合*的要求。2.9KaminskiAttack2021年Hl现的KaminskiAttack是利用AdditionalSection进展的BlindDNSCachePoison攻击。