前言
子域名接管是指注册一个不存在的域名以获得对另一个域名控制权的过程。此过程最常见的情况如下:
- 域名(例如http://sub.example.com)将CNAME记录[1]用于另一个域(例如http://sub.example.com CNAME http://anotherdomain.com)。
- 在某个时间点,http://anotherdomain.com到期,任何人都可以注册。
- 由于不会从 http://example.com DNS区域删除CNAME记录,因此注册 http://anotherdomain.com 域名的任何人都可以完全控制http://sub.example.com,直到存在DNS记录为止。
子域接管的含义非常重要。通过使用子域名托管,攻击者可以从合法的域名发送网络钓鱼电子邮件,执行跨站脚本(XSS)或破坏与该域相关联的品牌的声誉。您可以在我的其他文章中了解有关隐含(风险)[2]的更多信息。
子域接管不限于CNAME记录,NS,MX甚至A记录(均不受此限制)也将受到影响。这篇文章主要涉及CNAME记录。但是,在需要的地方也会提供NS和MX记录的用例。
常规域名
使用CNAME记录的DNS委托对用户完全透明,即在DNS解析过程都在后台发生。下图说明了具有CNAME记录的域名的Web浏览器的行为。
请注意,Web浏览器无保留地信任DNS解析程序返回的任何内容。这种信任意味着,当攻击者获得对DNS记录的控制权时,将绕过所有Web浏览器安全性度量(例如,同源策略[3])。由于子域接管破坏了域的真实性,攻击者可以通过多种方式利用该域的真实性,因此这带来了相当大的安全威胁。TLS / SSL也无法解决此问题,因为子域名接管不是常规的中间人式攻击。
CNAME子域接管。
CNAME子域接管的主要类型之一是规范域名,常规的Internet域(指非云提供商拥有的一个域名)的情况。检测某些源域名是否易受CNAME子域接管的过程非常简单:
给定源域名和规范域名对,如果可以使用规范域名的基本域进行注册,则源域名容易受到子域接管。
在此过程中,值得注意的是“规范域名的基本域”。这是因为规范域名可能采用更高级别的域的形式。如果基本域名可以被注册,那么之后在DNS区域里更高级别的域名也能被轻松再创建.
可以使用域名注册商(例如Namecheap)来检查基本域名的可用性。有的人认为测试NXDOMAIN的DNS 响应状态足以表明该域名是否可供注册。但是事实上并非如此,因为在某些情况下域名会以 NXDOMAIN 响应,但无法注册。原因主要是受限制的顶级域名(例如.GOV,.MIL)或TLD注册服务商保留的域名 。
NS子域接管。
子域接管的概念可以自然地扩展到NS记录:如果至少一个NS记录的规范域名的基础域可用于注册,则源域名也会容易受到子域接管的影响。
使用NS记录进行子域接管的问题之一就是源域名通常具有多个NS记录,多个NS记录用于冗余和负载平衡。假设域 http://sub.example.com具有两个NS记录: