最近有時間,有精力,繼續開展研究。
按照計畫,把dns相關理論、協議漏洞、攻擊方法和防護手段,研究並總結。
今天的kaminsky攻擊時dan kaminsky研究員於2023年發布的dns協議漏洞,據報道當時因此產生軒然大波,所以我收錄一下。
有兩個細節,我覺得值得研究:
1.attacker在傳送大量響應包去嘗試匹配中真實的響應時,可能用到兩種方法:
1)傳送id不變的大量響應包,而另一台attacker去不停地向victim server請求不存在的網域名稱。這樣總有乙個id與偽造響應包的id匹配,但是還需要考慮網域名稱的匹配問題。我還要再細琢磨.
2.)只傳送乙個不存在網域名稱的遞迴請求,然後attacker變換id,大量傳送對同一網域名稱的響應包,只要attacker傳送的速度夠快,肯定會搶先在正常響應包到達前,讓server接收他的fake包。
2.假設server真的接受了attacker傳送的響應包,得到了authoritative+additional欄位,但是如果server上已經有了這個字段網域名稱的快取呢?
實驗證明,如果server上已經有了這個字段網域名稱的快取,也會被authoritative+additional更新掉。這也是kaminsky攻擊比較狠的地方。
從nsfocus的同事那裡聊天得知,現在dns攻擊的型別仍然是ddos居多,投毒不多,可能因為實現難度。
ps:經過研究,認為應該是:
攻擊者先向cache server請求解析bogus12345.www.paypal.com/同時偽造響應報文進行快取汙染,需要窮舉猜測transaction id、源port;如果攻擊未得手,由於快取"否定"響應([rfc 1034 4.3.4])機制會直接丟棄掉bogus12345.www.paypal.com/ 的所有回應包,攻擊者接著向cache server請求解析bogus12346.www.paypal.com/,如此不斷嘗試直至攻擊成功。
另外,單純的投毒成功率較低,應該想辦法讓正常響應包多點延遲,所以如果配合flood先堵住authorith的流量,成功機率就高多了。
-----2011.1.26 14:13
DNS欺騙攻擊
1.dns網域名稱系統 其主要作用是把主機的網域名稱解析ip位址的系統,即使伺服器更換了ip位址,我們依舊可以通過網域名稱訪問該伺服器。dns網域名稱查詢可以簡單的分為五個步驟 2.dns欺騙 dns欺騙就是利用了dns協議設計時的安全缺陷。首先欺騙者向目標機器傳送構造好的arp應答資料報,arp欺...
DDOS攻擊之DNS放大攻擊
此ddos攻擊是基於反射的體積分布式拒絕服務 ddos 攻擊,其中攻擊者利用開放式dns解析器的功能,以便使用更大量的流量壓倒目標伺服器或網路,從而呈現伺服器和它周圍的基礎設施無法進入。所有放大攻擊都利用了攻擊者和目標web資源之間的頻寬消耗差異。當在許多請求中放大成本差異時,由此產生的流量可能會破...
DNS重繫結攻擊 cors xss攻擊
dns重繫結dns rebinding攻擊 在網頁瀏覽過程中,使用者在位址列中輸入包含網域名稱的 瀏覽器通過dns伺服器將網域名稱解析為ip位址,然後向對應的ip位址請求資源,最後展現給使用者。而對於網域名稱所有者,他可以設定網域名稱所對應的ip位址。當使用者第一次訪問,解析網域名稱獲取乙個ip位址...