《DNS缓存污染.docx》由会员分享,可在线阅读,更多相关《DNS缓存污染.docx(5页珍藏版)》请在三一办公上搜索。
1、书目DNS存污染1一.DNS体系简介1常见域名解析M1常见DNS布号1二.DNS.存污染2什么是DNS存污染2DNS存污染攻击所受限制3Transaction11)3M4NATMW口!机化的干胡5生日攻击6ClassicGluePoison7BailyvickChock8KaalnskiAttack8小结9三.MX*ioRecursiveServer斑:护Centralcache,以此降低网络与和关效劳器的负我(RFC10345,1).二.DNS缓存污染2.1 什么是DNS缓存污染在1.2中提到RecursiveServer维护Centralcache.就是将来自响应报文的各种RR以某种形式媛
2、存起来,下次遇上SlUbReSoIVer向自己发出恳求时,先在本地姬存里找寻相应的RR没有找到的状况下才向FOreignNtuneSerVer发出恳求.Internet上攻击者有方法伪造一个报文,使之看起来像是从FOreignNameSerVer发往RecursiveServer的响应报文,其中包含的RR处攻击者指定的恶意内容,这样的RR被RecursiveSerVer承受并援存,我们称之发生了DNS缓存污染.假设192.168.1.1是内网的DNSServer,客户机F:vip合作这个过程一般意味特恩求解析的ARRt攻击者UJ以通过慑存污染攻击的缓存中出现.A10.17.2.,结果全部运用1
3、92.168.1.1做DNSServer的客户机访问时实际访问的是10.17.2.1.在馈存中置入伪造的ARR是最干脆的攻击方式,还可以置入CNAMERR,NSRR、MXRR等各种RR,这完全取决于攻击者的G终目的,EndUser1.ocalDNSNAT/FirewallQ:ID:45870SRCPORT:1025InternetDNS图中CacheServer班机化/就PORT(54132/UDP),但DxS总求报文经过NT设备后源PORT变成相对静态的1025/UDI,位于Interneti侧的攻击者伪造响应报文时只需指定目标端口为1025/UDP即可,NAT设备会自动转换成54132/U
4、DP。2.6生日攻击假如DXSServer允许并发向外查询同一QWME,就很简沽遭致生口攻击,生日攻击的最简描述是,23个人中有两个人生日一样的概率接近1/2.k等干365时,IW述结果等于于23.假如Attacker能迫使DNSServer并发恳求同样的QuestionSeCtion(QNAME.QTYPE.QC1.ASS),就可以利用生H攻击原理对TranSaCtionID.源PORT进展碰撞.假如简洁套用前述公式的话(事实上不能简洁套用k等于6553665536,公式计算结果为78643,就是说同时发78643个响应报文.TransactionID、就PoRTi起命中的概率接近1/2.同
5、时发送更多的响应报文.TransactionID、瀛PORT一起命中的概率就更大.CERT#457875介绍了更多内容.Q:google.coNS欺瞒的平安公告,针对下述攻击:QuestionSectionID:54321QNAME:AnswerSectionA193.0.0.195ttl=172800)AuthoritySectionNSns-NSns-et.isc.orgAdditionalSectionwww.paypaI.C1.2.3.4ttl=FOREVER)完全不相干NSns.myeviI.Cofl)恳求解析,响应报文给了正常的ARh但在AdditiOnalSeCtiOn中附带完全
6、不相干的两个RR,这两个RR随AnswerSection中的ARR一起进入CacheServer的缓存。下次DNSClientllCacheServer恳求斛析时,就会得到伪选的1.2.342.8BailywickCheck为了应付1997年出现的ClaSSiCGIUCPoison.DNS实现进展了所谓的“BailywickCheck,所谓BnilywickCheCk”是指承受位于Authority,AdditionalSection中的RR时所进展的一种平安检性,比方QXAYE是a,那么仅当这些RR形如*时才承受,又比方QNWE是&b,那么仅当这RR形如*.b时才承受,应用BaiIywickCheck之后,2.7中的攻击报文就无法进展级存污染了,因为QvUIE是,AdditionalSection中的RRowner不符合*的要求。2.9KaminskiAttack2021年Hl现的KaminskiAttack是利用AdditionalSection进展的BlindDNSCachePoison攻击。