[译]DNS缓冲窥探

最新推荐文章于 2024-05-31 19:06:17 发布
最新推荐文章于 2024-05-31 19:06:17 发布
阅读量998 收藏
点赞数
分类专栏: 信息收集 文章标签: 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82607395
版权
原文地址:http://resources.infosecinstitute.com/dns-cache-snooping/
[b]1. 介绍[/b]
DNS或则命名服务器用于解析域名到IP地址。有很多DNS服务器,它们用于解析特定的域名,但是他们存放特定的DNS记录。这些记录可以是如下:A,AAAA,NS,MX,等。所有的DNS服务器连接到一起来构建一个层级的DNS网络。我们来查询我们自己的DNS服务器来解析www.google.com。 
# nslookup www.google.com 192.168.1.1

Server:    192.168.1.1

Address 1: 192.168.1.1

Name:      www.google.com

Address 1: 173.194.35.148 muc03s01-in-f20.1e100.net

Address 2: 173.194.35.144 muc03s01-in-f16.1e100.net

Address 3: 173.194.35.147 muc03s01-in-f19.1e100.net

Address 4: 173.194.35.145 muc03s01-in-f17.1e100.net

Address 5: 173.194.35.146 muc03s01-in-f18.1e100.net

Address 6: 2a00:1450:4016:800::1010 muc03s01-in-x10.1e100.net

可以看到查询返回5个地址173.194.35.144, 173.194.35.145, 173.194.35.146, 173.194.35.147 and 173.194.35.148,用来负载均衡。
[b]2. DNS Queries[/b]
DNSDNS服务器的主要工作是相应DNS查询。一个DNS查询是一个如下啊的问题:“Hello DNS 服务器,请告诉我www.google.com的IP”。当DNS服务器接收到这样一个请求时,它将查询该域名的IP,然后返回相应的IP。DNS服务器可以从本地的cache中查询主机地址信息。如果hostname-ip关系存在,它立即返回结果。否则它将查询forward到他的DNS服务器。
DNSDNS服务器的目的是提供一个本地域名的hostname-IP的转换,它配置喜爱本地区域文件中。但这些不是DNS服务器通常解析的请求;通常情况下是DNS不知道的域名。当DNS服务器接收到这种请求的时候,DNS服务器做下面所有事中的一件:
[color=blue]1. Recursive Query:[/color]既然既然DNS服务器不知道hostname,它将会请求它自己的DNS服务器来解决它。如果IP存在,那么递归查询总会返回一个IP地址。递归查询不是DNS服务器必须支持的选项。
[color=blue]2. Iterative Non-Recursive Query:[/color]如果如果DNS服务器不知道查询的hostname,那么它返回一组可能知道该IP的DNS服务器。但是如果hostname-IP对存在本地cache中,那么对应的IP必须返回。所有DNS服务器必须支持Non-Recursive Query。
[color=blue]3. DNS Cache 窥探: Non-Recursive Queries are Enabled[/color]DNS cache窥探是一个获取已经被DNS服务器解析的请求的过程。如果我们想检查hostname是否被本地DNS网络解析,这将很有用。这意味着本地网络中的节点近期使用那台DNS服务器请求过hostname。从而可以窥探在某一个时间user访问了哪个页面。
如果我莫使用一个非递归查询来解析一个已经解析的域名,那么DNS服务器对于cache窥探很敏感。为了检查DNS服务器是否对于DNS窥探敏感,我们可以尝试用非递归请求来查找一个域名:如果DNS服务器不知道那么它也不请求其他DNS服务器。
我们可以通过nslookup命令:
nslookup -norecursive www.rapid7.com
首先首先我们使用nslookup命令访问8.8.8.8来解析hostname www.rapid7.com,通过-norecursive 选项来使用非递归。在下图的输出中,我们可以看到nslookup命令没有解析www.rapid7.com 
# nslookup -norecursive -type=A www.rapid7.com

Server:  8.8.8.8

Address: 8.8.8.8#53

Non-authoritative answer:

*** Can't find www.rapid7.com: No answer

然后我们使用-recursive选项,则应该解析: 
# nslookup -recursive -type=A www.rapid7.com

Server:  8.8.8.8

Address: 8.8.8.8#53

Non-authoritative answer:

Name: www.rapid7.com

Address: 208.118.227.10

我们可以看到DNS服务器8.8.8.8通过询问其他DNS服务器来获得www.rapid7.com信息。在查询的最后,它返回地址208.118.227.10,正是www.rapid7.com的IP.
r然后我们再使用-norecursive选项,这次应该显示IP。原因是使用了-recursive,DNS将返回的IP存储在它的cache中。只要该实体存在于cache中,那么即使使用non-recursive,仍然会返回结果。如下: 
# nslookup -norecursive -type=A www.rapid7.com

Server:  8.8.8.8

Address: 8.8.8.8#53

Non-authoritative answer:

Name: www.rapid7.com

Address: 208.118.227.10

现在DNS服务器返回208.118.227.10。我们可以发现DNS服务器存在缓存窥探漏洞。
[b]3. DNS Cache Snooping: Non-Recursive Queries are Disabled[/b]
对于窥探一个DNS服务器,我们可以使用non-recursive查询,从那里我们可以让DNS服务器返回一个给定资源的任何类型:A,MX,CNAME,PTR等。我们可以通过设置RD标志为0来实现.如果DNScache中存在任何实体,它将会返回。否则,DNS服务器将返回其他可以回答查询的服务器,大多数情况下我们将会获得root.hints文件。
通常情况下当配置DNS服务器时,可以禁止non-recursive。但是即使只允许递归查询,我们有时仍然可以某个实体是否存在于缓冲。有两种方法:
[color=blue](一)检查query所需的时间[/color]:如果查询的时间大致等于发送数据包到服务器的时间,那么该实体可能存在于cache中,因为不需要浪费时间向其他DNS服务器查询。
我们首先用ping命令测量一些ICMP数据报包送指定DNS服务器所需时间。下图发送3个数据包到8.8.8.8服务器,花费大概30.387微秒。查看最后一行的avg 
# ping -c 3 8.8.8.8

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

64 bytes from 8.8.8.8: icmp_req=1 ttl=47 time=29.7 ms

64 bytes from 8.8.8.8: icmp_req=2 ttl=47 time=30.7 ms

64 bytes from 8.8.8.8: icmp_req=3 ttl=47 time=30.6 ms

--- 8.8.8.8 ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2003ms

rtt min/avg/max/mdev = 29.725/30.387/30.769/0.491 ms

然后使用8.8.8.8服务器来解析hostname,但是应该使用一个可以统计时间的工具-dig。如下所示,用8.8.8.8查询www.google.com花费31 ms。 
# dig @8.8.8.8 www.google.com

; <<>> DiG 9.9.1-P2 <<>> @8.8.8.8 www.google.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39294

;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 512

;; QUESTION SECTION:

;www.google.com.                        IN      A

;; ANSWER SECTION:

www.google.com.         256     IN      A       173.194.35.146

www.google.com.         256     IN      A       173.194.35.144

www.google.com.         256     IN      A       173.194.35.145

www.google.com.         256     IN      A       173.194.35.147

www.google.com.         256     IN      A       173.194.35.148

;; Query time: 31 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; MSG SIZE  rcvd: 123

发送ICMP所需时间大致等于DNS查询时间,所以www.google.com很可能在DNS服务器8.8.8.8的缓存中。
我们解析www.imdb.com,我们将会看到它不在cache中: 
# dig @8.8.8.8 www.imdb.com

; <<>> DiG 9.9.1-P2 <<>> @8.8.8.8 www.imdb.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28806

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 512

;; QUESTION SECTION:

;www.imdb.com.                  IN      A

;; ANSWER SECTION:

www.imdb.com.           9410    IN      CNAME   us.dd.imdb.com.

us.dd.imdb.com.         33      IN      A       207.171.162.180

;; Query time: 61 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; MSG SIZE  rcvd: 77

查询话费时间61毫秒,意味着查询时间加倍。这表明www.imdb.com不在缓存中。如果我们再次查询同样域名,我们将会看到只需31 ms,可能是因为hostname-ip对由之前的查询已经放到本地cache中了 
# dig @8.8.8.8 www.imdb.com

; <<>> DiG 9.9.1-P2 <<>> @8.8.8.8 www.imdb.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53647

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 512

;; QUESTION SECTION:

;www.imdb.com.                  IN      A

;; ANSWER SECTION:

www.imdb.com.           10776   IN      CNAME   us.dd.imdb.com.

us.dd.imdb.com.         36      IN      A       72.21.203.211

;; Query time: 31 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; MSG SIZE  rcvd: 77

[color=blue](二) 当查询一个有漏洞的DNS服务器和root DNS服务器比较他们的TTL[/color]
以内因为不允许non-recursive查询,唯一的选项是使用recursive查询-将会在DNS服务器中缓冲结果。但是即使那样,我们可以检查应答的TTL值来判断一个host是否已经存在于cache中。 
# nslookup -type=A www.google.com 8.8.8.8 -debug

Server:         8.8.8.8

Address:        8.8.8.8#53

------------

QUESTIONS:

www.google.com, type = A, class = IN

ANSWERS:

->  www.google.com

internet address = 173.194.35.146

ttl = 300

->  www.google.com

internet address = 173.194.35.148

ttl = 300

->  www.google.com

internet address = 173.194.35.144

ttl = 300

->  www.google.com

internet address = 173.194.35.145

ttl = 300

->  www.google.com

internet address = 173.194.35.147

ttl = 300

AUTHORITY RECORDS:

ADDITIONAL RECORDS:

------------

Non-authoritative answer:

Name:   www.google.com

Address: 173.194.35.146

Name:   www.google.com

Address: 173.194.35.148

Name:   www.google.com

Address: 173.194.35.144

Name:   www.google.com

Address: 173.194.35.145

Name:   www.google.com

Address: 173.194.35.147

在上图结果中TTL值是300,认为是一个低值。它意味着在查询的时候hostname www.google.com已经在cache中
iteye_16188
关注
专栏目录
DNS缓存投毒细节泄露
07-23 5019
 昨天Mantasano上的一篇文章描述了Dan Kaminsky的DNS域名服务器攻击的细节。该文章发表了几分钟之后即被删掉了。      虽然Dan Kaminsky已经联合厂商发布了补丁,但是仍处于补丁推送阶段,目前仍有相当一部分域名服务器还没有打补丁。如果被恶意利用的话,对整个互联网还是很有威胁的。这也是为什么Dan 希望 "not speculate publicly"。      大概
域名缓存侦测(DNS Cache Snooping)技术
weixin_33909059的博客
02-20 126
2019独角兽企业重金招聘Python工程师标准>>> ...
2024年Java常见面试题目,java集合框架面试
2401_84413490的博客
04-20 555
1.1 传统应用架构的问题1.2 微服务架构是什么1.3 微服务架构有哪些特点和挑战1.4 如何搭建微服务架构2.1 Spring Boot 是什么2.2 如何使用Spring Boot框架2.3 Spring Boot生产级特性3.1 Node.js 是什么3.2 如何使用 Node.js3.3 使用Node.js搭建微服务网关4.1 ZooKeeper 是什么4.2 如何使用 ZooKeeper4.3 实现服务注册组件4.4 实现服务发现组件5.1 Docker 是什么5.2 如何使用 Docker5.
Linux:窥探内存的命令。
孤芳不自赏
03-01 186
free 此命令用于显示系统内存的使用情况,包括总体内存、已经使用的内存;还可用于显示系统内核使用的缓冲区,包括缓冲(buffer)和缓存(cache)等。 使用方式 free 命令输出 内存并不只有占用和空闲两个简单状态,我们从上面的输出中发现其中有buffers和cached的数据,从字面意义上来讲,都是缓存,只有弄清楚缓存了什么数据才能有效地区分这两种缓存。 buffers一般...
rust-dns:未积极开发,请使用https
05-09
Rust的类型系统和所有权模型使得在处理网络协议时能够避免许多常见的安全问题,例如缓冲区溢出和数据竞争。 不过,如果"rust-dns"不再更新,它可能不包含最新的DNS规范或特性,这可能会限制开发者的能力,使他们...
安全知识 细分网络攻击类型
蓝色布鲁斯
11-23 2601
<br />目前的网络攻击模式呈现多方位多手段化,让人防不胜防。概括来说分四大类:服务拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击。 <br /><br />  1、服务拒绝攻击 <br /><br />  服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括: <br /><br />  死亡之ping (ping of death) <br /><br />  概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP
第10章安全扫描技术.pptx
10-06
此外,拒绝服务攻击(DoS)通过消耗系统资源或带宽,使目标系统无法正常运行,对此,我们需要强化网络协议和系统防御,例如优化路由和DNS设置,以抵御这类攻击。 利用型攻击,如特洛伊木马和缓冲区溢出,是直接控制...
迪普防火墙白皮书
热门推荐
weixin_57914999的博客
04-06 1万+
应用防火墙 DPtech FW1000 系列下一代防火墙技术白皮书 1 概述 在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展, 应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网 络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制 的防火墙,已远远无法满足各种新应用下安全防护的需求。为解决此类难题,迪普科技推出了基于全新多 核处理器架构的 FW1000 系列下一代防火墙。 F
DNS实验
qq_48802540的博客
06-20 258
DNS实验 (centos 7 ) 一,安装软件包 [root@1 ~]# yum install bind* -y [root@1 ~]# rpm -qa |grep bind 二,修改配置文件 [root@1 ~]# cp -p /etc/named.rfc1912.zones /etc/named.zones [root@1 ~]# vim /etc/named.conf //修改监听口等 ot@1 ~]# vim /etc/named.zones 追加: [root@1
root-hints:提供DNS根服务器的IP地址,也称为根提示
05-07
根提示 提供DNS根服务器的IP地址,也称为根提示。 安装 $ npm i root-hints 用法 const rootHints = require ( 'root-hints' ) ; rootHints ( 'A' ) ; // ['198.41.0.4', '192.228.79.201', ...] rootHints ( 'AAAA' ) ; // ['2001:503:BA3E::2:30', '2001:500:84::B', ...] rootHints ( ) ; // [{ A: '198.41.0.4', AAAA: '2001:503:ba3e::2:30', name: 'a.root-servers.net' }, ...] :copyright: ,根据BSD许可分发
DNS缓存(cache)漏洞验证与检测
afei001
01-04 732
DNS服务器进行DNS缓存存在脆弱性,攻击者可利用该漏洞窥探敏感数据。 DNS缓存窥探是当有人查询 DNS 服务器以了解(窥探DNS 服务器是否缓存了特定的 DNS 记录,从而推断 DNS 服务器的所有者(或其用户)是否最近访问了特定站点。这可能会泄露有关 DNS 服务器所有者的信息,例如他们使用的供应商、银行、服务提供商等。特别是如果这在一段时间内被多次确认(窥探)。
FIC2024——网站重构,数据库绕密
最新发布
iwlmo的博客
05-31 1584
手机部分在分析中没有手机信息,在文档中有一个useragent.txt,可以从中找到第二种方法可以从开关机日志中,跳转到源文件能够看到有一个MMB29M的文件夹名在百度上搜该名称,可以看出这个版本号代表的是小米4B在无线连接记录中可以看到连接过一个pad,所以推测这个为嫌疑人平板电脑D。
路由器重温——DHCP/DNS服务配置管理-3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
11-18 1729
DHCP Snooping基础 DHCP Snooping是一种DHCP安全技术,能够有效防止网络中仿冒DHCP服务器的攻击,保证客户端从合法的服务器获取IP地址,能够记录DHCP客户端IP地址与MAC地址等参数的对应关系进而生成绑定表。 一、DHCPSnooping概述 常见DHCP攻击:DHCP服务器仿冒者攻击、DHCP服务器拒绝服务攻击、仿冒DHCP报文攻击等。DHCPSnooping用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应.
DNS攻击详解
weixin_47726676的博客
06-13 9836
目录DNS概念什么是DNS因特网的域名结构DNS域名服务器DNS攻击DDOS攻击基于主机耗尽型的dns查询拒绝服务攻击(DNS query Flooding)攻击方法防御策略基于宽带耗尽型的DNS反弹式拒绝服务攻击(DNS reflector attacks,又称DNS amplification attacks)攻击方法防御策略会话劫持劫持dns服务器地址hosts文件被修改DNS服务器缓存中的映射关系被修改,又称缓存投毒攻击 DNS概念 什么是DNS 域名系统DNS(Domain Name System
DNS 查询原理详解
昆吾kw的博客
10-01 800
通过 DNS 查询,得到域名的 IP 地址,才能访问网站。那么,DNS 查询到底是怎么完成的?本文通过实例,详细介绍背后的步骤。
域名服务器缓存污染(DNS cache pollution)或DNS污染
weixin_40191861的博客
08-24 189
DNS cache pollution)或,是指由于自动执行DNS劫持攻击导致DNS服务器缓存了错误记录的现象。而(DNS cache poisoning)和指由执行的DNS劫持攻击。一词可能取自域名系统之特性,若递归DNS解析器查询上游时收到错误回复,所有下游也会受影响。
DHCP snooping
qq_33808440的博客
04-20 772
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ·DHCP Server的冒充 ·DHCP Server的DOS***,如DHCP耗竭*** ·某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值