利用dig分析DNS结构和查询流程(一)

最新推荐文章于 2024-04-04 21:51:28 发布
最新推荐文章于 2024-04-04 21:51:28 发布
阅读量405 收藏 1
点赞数
文章标签: 网络安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45675153/article/details/132606641
版权

dig的强大功能之一是模拟Recursive的运行流程来执行一次DNS查询,本文使用该功能分析DNS查询的流程以及NS记录,Glue record,Referral record等之间的关系和最终查询结果的关系。由此引出NSNXAttack和NRDelegationAttack两种攻击的分析。

查询

首先使用dig +trace获得整个查询的记录,以google.com为例:

~# dig +trace +additional google.com A @f.root-servers.net

; <<>> DiG 9.18.12-0ubuntu0.22.04.2-Ubuntu <<>> +trace +additional google.com A @f.root-servers.net
;; global options: +cmd
.                       518400  IN      NS      d.root-servers.net.
.                       518400  IN      NS      e.root-servers.net.
.                       518400  IN      NS      a.root-servers.net.
.                       518400  IN      NS      m.root-servers.net.
.                       518400  IN      NS      l.root-servers.net.
.                       518400  IN      NS      f.root-servers.net.
.                       518400  IN      NS      g.root-servers.net.
.                       518400  IN      NS      h.root-servers.net.
.                       518400  IN      NS      b.root-servers.net.
.                       518400  IN      NS      k.root-servers.net.
.                       518400  IN      NS      j.root-servers.net.
.                       518400  IN      NS      c.root-servers.net.
.                       518400  IN      NS      i.root-servers.net.
.                       518400  IN      RRSIG   NS 8 0 518400 20230913050000 20230831040000 11019 . sTegTb4O1m5gsG6/bNYMthI0KmGTq0sqyKzys6J9GjN05eew+r+hommx jkUk2k0SL8gFMvEOTCmObUw94Ln6qHK5FbyThvQFvxzF7TMBc+YIVEAU 9qYKNNcB+kXOdkrSYVUjFFKfIWbczm/4XhvAv8GkZqbNKEJwkgyKi9bH ippRdD67TNBWoaij+Q8XvlwnHXP3xfiptcTuxtsx8zSlBzVvKMb2GvlL W/Uf6QR+eL5QstjrqOv6TCMPz5UBtEQbuPBiZWArdsERT/3WH8Qir6Rq sFGpVbXijVDFykKxR3Cjby5zB/iQGlAdxFUY2uwJvvVu1dR/WE/G2IoG OUsTMw==
d.root-servers.net.     518400  IN      A       199.7.91.13
d.root-servers.net.     518400  IN      AAAA    2001:500:2d::d
e.root-servers.net.     518400  IN      A       192.203.230.10
e.root-servers.net.     518400  IN      AAAA    2001:500:a8::e
a.root-servers.net.     518400  IN      A       198.41.0.4
a.root-servers.net.     518400  IN      AAAA    2001:503:ba3e::2:30
m.root-servers.net.     518400  IN      A       202.12.27.33
m.root-servers.net.     518400  IN      AAAA    2001:dc3::35
l.root-servers.net.     518400  IN      A       199.7.83.42
l.root-servers.net.     518400  IN      AAAA    2001:500:9f::42
f.root-servers.net.     518400  IN      A       192.5.5.241
f.root-servers.net.     518400  IN      AAAA    2001:500:2f::f
g.root-servers.net.     518400  IN      A       192.112.36.4
g.root-servers.net.     518400  IN      AAAA    2001:500:12::d0d
h.root-servers.net.     518400  IN      A       198.97.190.53
h.root-servers.net.     518400  IN      AAAA    2001:500:1::53
b.root-servers.net.     518400  IN      A       199.9.14.201
b.root-servers.net.     518400  IN      AAAA    2001:500:200::b
k.root-servers.net.     518400  IN      A       193.0.14.129
k.root-servers.net.     518400  IN      AAAA    2001:7fd::1
j.root-servers.net.     518400  IN      A       192.58.128.30
j.root-servers.net.     518400  IN      AAAA    2001:503:c27::2:30
c.root-servers.net.     518400  IN      A       192.33.4.12
c.root-servers.net.     518400  IN      AAAA    2001:500:2::c
i.root-servers.net.     518400  IN      A       192.36.148.17
i.root-servers.net.     518400  IN      AAAA    2001:7fe::53
;; Received 1097 bytes from 192.5.5.241#53(f.root-servers.net) in 210 ms

com.                    172800  IN      NS      i.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    86400   IN      DS      30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20230913050000 20230831040000 11019 . SDSqlwjZKrqNVP2SV+cRQEaiBBNvx8tIP8+tbNmNGyi9LqcDEKCWB5J8 3qfhueg/Wg31In3vFA7InAoeCciGeBXegT+iNdPNRt+/L2oXk5WYteQI YpQ9TvjilFBmvbfrfoJUxCe4yQsN7cMsvOB17e9OpWAdZxTdjra7qT+I GkHCzIhWJJ0y1LlpqGOSwPff2N3QABYzndPE5K/8Jn0kQaXS4yPSKN/G 6uGag6wrdb3e6wcLwg0iOe0B7cjBODKJF1OfnfIjdjd59w8uQfK8Zs9z 4etaabDHVcYrLCtVZeRU3uZ8jDYhw7O6EqjBQYgUZkEMe5TDIML7M+CT eP70VQ==
i.gtld-servers.net.     172800  IN      A       192.43.172.30
i.gtld-servers.net.     172800  IN      AAAA    2001:503:39c1::30
e.gtld-servers.net.     172800  IN      A       192.12.94.30
e.gtld-servers.net.     172800  IN      AAAA    2001:502:1ca1::30
a.gtld-servers.net.     172800  IN      A       192.5.6.30
a.gtld-servers.net.     172800  IN      AAAA    2001:503:a83e::2:30
d.gtld-servers.net.     172800  IN      A       192.31.80.30
d.gtld-servers.net.     172800  IN      AAAA    2001:500:856e::30
j.gtld-servers.net.     172800  IN      A       192.48.79.30
j.gtld-servers.net.     172800  IN      AAAA    2001:502:7094::30
f.gtld-servers.net.     172800  IN      A       192.35.51.30
f.gtld-servers.net.     172800  IN      AAAA    2001:503:d414::30
g.gtld-servers.net.     172800  IN      A       192.42.93.30
g.gtld-servers.net.     172800  IN      AAAA    2001:503:eea3::30
k.gtld-servers.net.     172800  IN      A       192.52.178.30
k.gtld-servers.net.     172800  IN      AAAA    2001:503:d2d::30
c.gtld-servers.net.     172800  IN      A       192.26.92.30
c.gtld-servers.net.     172800  IN      AAAA    2001:503:83eb::30
b.gtld-servers.net.     172800  IN      A       192.33.14.30
b.gtld-servers.net.     172800  IN      AAAA    2001:503:231d::2:30
h.gtld-servers.net.     172800  IN      A       192.54.112.30
h.gtld-servers.net.     172800  IN      AAAA    2001:502:8cc::30
l.gtld-servers.net.     172800  IN      A       192.41.162.30
l.gtld-servers.net.     172800  IN      AAAA    2001:500:d937::30
m.gtld-servers.net.     172800  IN      A       192.55.83.30
m.gtld-servers.net.     172800  IN      AAAA    2001:501:b1f9::30
;; Received 1170 bytes from 192.5.5.241#53(f.root-servers.net) in 210 ms

google.com.             172800  IN      NS      ns2.google.com.
google.com.             172800  IN      NS      ns1.google.com.
google.com.             172800  IN      NS      ns3.google.com.
google.com.             172800  IN      NS      ns4.google.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q2D6NI4I7EQH8NA30NS61O48UL8G5 NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20230907042432 20230831031432 4459 com. kfAa2AgL3x3C+IosF42yh93sqnQ7+rZxcAopsjOaXsD870wdt6cEDNeB e/3ssjbBsk0tn6mV095Q1LF1ca8c0rpH/fySsq251qNcNiMl6Pd8CUrj mDbXcxX0w8H+4yaARxywy4FDdcwRPtJcHcEQK6PElT0le0lPsQ/DekdS EpBdYJ196p6aN4KFDTuCs00wonokUDdxdImdbYZeVON0PQ==
S84BKCIBC38P58340AKVNFN5KR9O59QC.com. 86400 IN NSEC3 1 1 0 - S84BR9CIB2A20L3ETR1M2415ENPP99L8 NS DS RRSIG
S84BKCIBC38P58340AKVNFN5KR9O59QC.com. 86400 IN RRSIG NSEC3 8 2 86400 20230904050018 20230828035018 4459 com. CT/G8cz9O87WYOeCn9uyhPYbPaLja93Gtlu1zoxLJ4OlHiD4/fxE+Loo jP59N+xuxiYqzazMaDliDYIH3620QUfKSuO6wFY1E1vYT5ghzNogF9+D nQA7I1GLmNLsIAhxolGbG+W/fcb2ixLtgy2CM88k0VAkaLxsCkWBPNET 7iH8YFUx2FyTYQnfW6l328L58lUt7SSNyj/LMG0BZoNtxA==
ns2.google.com.         172800  IN      AAAA    2001:4860:4802:34::a
ns2.google.com.         172800  IN      A       216.239.34.10
ns1.google.com.         172800  IN      AAAA    2001:4860:4802:32::a
ns1.google.com.         172800  IN      A       216.239.32.10
ns3.google.com.         172800  IN      AAAA    2001:4860:4802:36::a
ns3.google.com.         172800  IN      A       216.239.36.10
ns4.google.com.         172800  IN      AAAA    2001:4860:4802:38::a
ns4.google.com.         172800  IN      A       216.239.38.10
;; Received 836 bytes from 192.33.14.30#53(b.gtld-servers.net) in 220 ms

google.com.             300     IN      A       142.250.189.174
;; Received 55 bytes from 216.239.38.10#53(ns4.google.com) in 270 ms

+trace选项使得dig以递归的方式查询,@f.root-servers.net指定向某个根发起请求,以获得完整的查询记录。+additional使得dig展示出additional段的内容,在后文中将解释additional内容的重要性。

根据Response中的信息可以分段分析。第一段是关于各个root的查询

.                       518400  IN      NS      d.root-servers.net.
.                       518400  IN      NS      e.root-servers.net.
.                       518400  IN      NS      a.root-servers.net.
.                       518400  IN      NS      m.root-servers.net.
.                       518400  IN      NS      l.root-servers.net.
.                       518400  IN      NS      f.root-servers.net.
.                       518400  IN      NS      g.root-servers.net.
.                       518400  IN      NS      h.root-servers.net.
.                       518400  IN      NS      b.root-servers.net.
.                       518400  IN      NS      k.root-servers.net.
.                       518400  IN      NS      j.root-servers.net.
.                       518400  IN      NS      c.root-servers.net.
.                       518400  IN      NS      i.root-servers.net.
.                       518400  IN      RRSIG   NS 8 0 518400 20230913050000 20230831040000 11019 . sTegTb4O1m5gsG6/bNYMthI0KmGTq0sqyKzys6J9GjN05eew+r+hommx jkUk2k0SL8gFMvEOTCmObUw94Ln6qHK5FbyThvQFvxzF7TMBc+YIVEAU 9qYKNNcB+kXOdkrSYVUjFFKfIWbczm/4XhvAv8GkZqbNKEJwkgyKi9bH ippRdD67TNBWoaij+Q8XvlwnHXP3xfiptcTuxtsx8zSlBzVvKMb2GvlL W/Uf6QR+eL5QstjrqOv6TCMPz5UBtEQbuPBiZWArdsERT/3WH8Qir6Rq sFGpVbXijVDFykKxR3Cjby5zB/iQGlAdxFUY2uwJvvVu1dR/WE/G2IoG OUsTMw==
d.root-servers.net.     518400  IN      A       199.7.91.13
d.root-servers.net.     518400  IN      AAAA    2001:500:2d::d
e.root-servers.net.     518400  IN      A       192.203.230.10
e.root-servers.net.     518400  IN      AAAA    2001:500:a8::e
a.root-servers.net.     518400  IN      A       198.41.0.4
a.root-servers.net.     518400  IN      AAAA    2001:503:ba3e::2:30
m.root-servers.net.     518400  IN      A       202.12.27.33
m.root-servers.net.     518400  IN      AAAA    2001:dc3::35
l.root-servers.net.     518400  IN      A       199.7.83.42
l.root-servers.net.     518400  IN      AAAA    2001:500:9f::42
f.root-servers.net.     518400  IN      A       192.5.5.241
f.root-servers.net.     518400  IN      AAAA    2001:500:2f::f
g.root-servers.net.     518400  IN      A       192.112.36.4
g.root-servers.net.     518400  IN      AAAA    2001:500:12::d0d
h.root-servers.net.     518400  IN      A       198.97.190.53
h.root-servers.net.     518400  IN      AAAA    2001:500:1::53
b.root-servers.net.     518400  IN      A       199.9.14.201
b.root-servers.net.     518400  IN      AAAA    2001:500:200::b
k.root-servers.net.     518400  IN      A       193.0.14.129
k.root-servers.net.     518400  IN      AAAA    2001:7fd::1
j.root-servers.net.     518400  IN      A       192.58.128.30
j.root-servers.net.     518400  IN      AAAA    2001:503:c27::2:30
c.root-servers.net.     518400  IN      A       192.33.4.12
c.root-servers.net.     518400  IN      AAAA    2001:500:2::c
i.root-servers.net.     518400  IN      A       192.36.148.17
i.root-servers.net.     518400  IN      AAAA    2001:7fe::53
;; Received 1097 bytes from 192.5.5.241#53(f.root-servers.net) in 210 ms

本段向指定的root服务器请求了所有root的记录,root的IP地址一般比较固定,因此频繁查询是完全的浪费,实际的Recursive不会这样做。

第二部分是向指定的root对于".com"的查询,返回了一些Authoritative的结果

com.                    172800  IN      NS      i.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    86400   IN      DS      30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20230913050000 20230831040000 11019 . SDSqlwjZKrqNVP2SV+cRQEaiBBNvx8tIP8+tbNmNGyi9LqcDEKCWB5J8 3qfhueg/Wg31In3vFA7InAoeCciGeBXegT+iNdPNRt+/L2oXk5WYteQI YpQ9TvjilFBmvbfrfoJUxCe4yQsN7cMsvOB17e9OpWAdZxTdjra7qT+I GkHCzIhWJJ0y1LlpqGOSwPff2N3QABYzndPE5K/8Jn0kQaXS4yPSKN/G 6uGag6wrdb3e6wcLwg0iOe0B7cjBODKJF1OfnfIjdjd59w8uQfK8Zs9z 4etaabDHVcYrLCtVZeRU3uZ8jDYhw7O6EqjBQYgUZkEMe5TDIML7M+CT eP70VQ==
i.gtld-servers.net.     172800  IN      A       192.43.172.30
i.gtld-servers.net.     172800  IN      AAAA    2001:503:39c1::30
e.gtld-servers.net.     172800  IN      A       192.12.94.30
e.gtld-servers.net.     172800  IN      AAAA    2001:502:1ca1::30
a.gtld-servers.net.     172800  IN      A       192.5.6.30
a.gtld-servers.net.     172800  IN      AAAA    2001:503:a83e::2:30
d.gtld-servers.net.     172800  IN      A       192.31.80.30
d.gtld-servers.net.     172800  IN      AAAA    2001:500:856e::30
j.gtld-servers.net.     172800  IN      A       192.48.79.30
j.gtld-servers.net.     172800  IN      AAAA    2001:502:7094::30
f.gtld-servers.net.     172800  IN      A       192.35.51.30
f.gtld-servers.net.     172800  IN      AAAA    2001:503:d414::30
g.gtld-servers.net.     172800  IN      A       192.42.93.30
g.gtld-servers.net.     172800  IN      AAAA    2001:503:eea3::30
k.gtld-servers.net.     172800  IN      A       192.52.178.30
k.gtld-servers.net.     172800  IN      AAAA    2001:503:d2d::30
c.gtld-servers.net.     172800  IN      A       192.26.92.30
c.gtld-servers.net.     172800  IN      AAAA    2001:503:83eb::30
b.gtld-servers.net.     172800  IN      A       192.33.14.30
b.gtld-servers.net.     172800  IN      AAAA    2001:503:231d::2:30
h.gtld-servers.net.     172800  IN      A       192.54.112.30
h.gtld-servers.net.     172800  IN      AAAA    2001:502:8cc::30
l.gtld-servers.net.     172800  IN      A       192.41.162.30
l.gtld-servers.net.     172800  IN      AAAA    2001:500:d937::30
m.gtld-servers.net.     172800  IN      A       192.55.83.30
m.gtld-servers.net.     172800  IN      AAAA    2001:501:b1f9::30
;; Received 1170 bytes from 192.5.5.241#53(f.root-servers.net) in 210 ms

使用dig再次单独重现这一步,可以得到更具体的结果。

~# dig +additional google.com @f.root-servers.net

; <<>> DiG 9.18.12-0ubuntu0.22.04.2-Ubuntu <<>> +additional google.com @f.root-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48964
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 27
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;google.com.                    IN      A

;; AUTHORITY SECTION:
com.                    172800  IN      NS      i.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.

;; ADDITIONAL SECTION:
i.gtld-servers.net.     172800  IN      A       192.43.172.30
i.gtld-servers.net.     172800  IN      AAAA    2001:503:39c1::30
e.gtld-servers.net.     172800  IN      A       192.12.94.30
e.gtld-servers.net.     172800  IN      AAAA    2001:502:1ca1::30
a.gtld-servers.net.     172800  IN      A       192.5.6.30
a.gtld-servers.net.     172800  IN      AAAA    2001:503:a83e::2:30
d.gtld-servers.net.     172800  IN      A       192.31.80.30
d.gtld-servers.net.     172800  IN      AAAA    2001:500:856e::30
j.gtld-servers.net.     172800  IN      A       192.48.79.30
j.gtld-servers.net.     172800  IN      AAAA    2001:502:7094::30
f.gtld-servers.net.     172800  IN      A       192.35.51.30
f.gtld-servers.net.     172800  IN      AAAA    2001:503:d414::30
g.gtld-servers.net.     172800  IN      A       192.42.93.30
g.gtld-servers.net.     172800  IN      AAAA    2001:503:eea3::30
k.gtld-servers.net.     172800  IN      A       192.52.178.30
k.gtld-servers.net.     172800  IN      AAAA    2001:503:d2d::30
c.gtld-servers.net.     172800  IN      A       192.26.92.30
c.gtld-servers.net.     172800  IN      AAAA    2001:503:83eb::30
b.gtld-servers.net.     172800  IN      A       192.33.14.30
b.gtld-servers.net.     172800  IN      AAAA    2001:503:231d::2:30
h.gtld-servers.net.     172800  IN      A       192.54.112.30
h.gtld-servers.net.     172800  IN      AAAA    2001:502:8cc::30
l.gtld-servers.net.     172800  IN      A       192.41.162.30
l.gtld-servers.net.     172800  IN      AAAA    2001:500:d937::30
m.gtld-servers.net.     172800  IN      A       192.55.83.30
m.gtld-servers.net.     172800  IN      AAAA    2001:501:b1f9::30

;; Query time: 210 msec
;; SERVER: 192.5.5.241#53(f.root-servers.net) (UDP)
;; WHEN: Thu Aug 31 05:06:26 EDT 2023
;; MSG SIZE  rcvd: 835

可以看到得到了13个AUTHORITY记录和27个ADDITIONAL记录(一个未展示),对于"google.com"的查询并未返回解析".com"的服务器地址而是返回了很多NS记录,这是root将查询委托到了这些gtld-server中,并在Additional区中附带了他们的A和AAAA记录,这就是Glue record。在此处直接返回Authoritative似乎也可行,在下面将介绍Glue record解决更为棘手问题的例子。

下一步是向某个gtld-server请求"google.com"的解析结果,同样返回了NS记录和Additional节中的Glue record,如下

~# dig +additional google.com @b.gtld-servers.net

; <<>> DiG 9.18.12-0ubuntu0.22.04.2-Ubuntu <<>> +additional google.com @b.gtld-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1013
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 9
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      A

;; AUTHORITY SECTION:
google.com.             172800  IN      NS      ns2.google.com.
google.com.             172800  IN      NS      ns1.google.com.
google.com.             172800  IN      NS      ns3.google.com.
google.com.             172800  IN      NS      ns4.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.         172800  IN      AAAA    2001:4860:4802:34::a
ns2.google.com.         172800  IN      A       216.239.34.10
ns1.google.com.         172800  IN      AAAA    2001:4860:4802:32::a
ns1.google.com.         172800  IN      A       216.239.32.10
ns3.google.com.         172800  IN      AAAA    2001:4860:4802:36::a
ns3.google.com.         172800  IN      A       216.239.36.10
ns4.google.com.         172800  IN      AAAA    2001:4860:4802:38::a
ns4.google.com.         172800  IN      A       216.239.38.10

;; Query time: 220 msec
;; SERVER: 192.33.14.30#53(b.gtld-servers.net) (UDP)
;; WHEN: Thu Aug 31 05:37:36 EDT 2023
;; MSG SIZE  rcvd: 287

自上而下地看这是自然的,不过在此处发生了一个重要的变化,gtld-servers.net是注册局所有的,而查询结果中的ns[1-4].google.com是google自己所有的,google决定自己管理"google.com"子域下的所有域名,如www.google.com, scholar.google.com等等,而这一任务就由ns[1-4].google.com这4个IP来承担。从而google就需要向外界公布自家NS的域名和IP地址,假设google告知了管理".com"的域名管理机构".google.com"域由ns[1-4].google.com管理,并且告知了这4个IP,那么从Recursive的角度看就会进入以下的死循环:

假设Recursive请求"www.google.com"这一域名,请求首先到达root,然后root指向了某个gtld-server来解析".com"子域,然后这个gtld-server以NS记录的形式告诉recursive应该向ns1.google.com进一步查询。如果没有更多信息,recursive就需要再次请求ns1.google.com的地址,重复上述过程并再次得到ns1.google.com的NS记录,从而进入死循环。解决方法是在gtld-server的响应的Additional节中加入ns1.google.com的A/AAAA记录,避免解析之,这就是glue record。总而言之,glue record是存储在某个并不负责解析其所记录的域的authoritative中的记录。

最后一步中,recursive终于得到了他需要的google.com的A记录。

google.com.             300     IN      A       142.250.189.174
;; Received 55 bytes from 216.239.38.10#53(ns4.google.com) in 270 ms

NSNXAttack

在上述的解析过程中glue record并非必须的,仅当authoritative的委托对象在其查询的子域中时glue record才是必须的,假如r.gtld-servers.net在接收到"www.google.com"请求后打算将其委托到s.gtld-servers.net的话,则不需要glue record,这种委托将返回一个仅包含NS记录的Referral Response。

基于这种referral response的可行性,产生了一种放大攻击NSNXAttack,如下图

 攻击者需要控制一个(若干个)客户端和一个authoritative服务器,利用前面提到的referral response向另外一个authoritative发起攻击。

以 sd1.attacker.com 的 DNS 解析过程为例

在攻击者触发向恶意的name-server进行对应域名解析的时候。

  1. 首先会由当前网络环境中的上层DNS服务器(服务器A)去检索 attacker.com 的 name-server 服务(服务器B)。
  2. 攻击者控制该 nameserver 服务器(服务器B)返回特制的响应包(该包的主要目的:通知接收服务器做NS转发查询)。
    1. 响应包中含有复数条记录。
    2. 每天记录都表述 sd1.attacker.com 需要转发到 {fake-n}.victim.com 的 dns name-server 服务器(服务器C)去做查询。
    3. 其中不含对应的IP地址。(确保查询的成立)
  3. (服务器A)接收到该特制的响应包后会逐一对响应包中的NS记录进行 dns 查询。
  4. 导致(服务器A)发送大量的请求包/(服务器C)接收大量的请求包导致拒绝服务。

参考NXNSAttack: DNS协议安全漏洞通告 - 360CERT 和原论文NXNSAttack - NXNSAttack by Lior Shafir, New DNS DDoS vulnerability

为了解决该漏洞,BIND,UNBOUND,KNOT等DNS实现引入了Referral Response Limit,限制了recursive在接收到referral response后单次发出的解析请求的数目k,即使referral response中的记录很多(例如1500),recursive也会每次只尝试解析k个NS记录,从而限制了放大系数,并且在k个记录均返回NXDomain时放弃此次客户的查询。然而这个机制引出了另一个漏洞的出现,在后面我们将介绍NRDelegationAttack

postKamous
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DNS dig命令详解
12-24
详细描述了DNSdig命令的详细用法.帮做做链路负载均衡,GSLB等用户快速测试DNS应用
DNS篇之dig使用详解
热门推荐
新雪兰
06-15 2万+
1、首先DNS常见的一些类型如下: 类型 数值 描述 A 1 域名的IPv4地址 AAAA 34 域名的IPv6地址 CNAME 5 域名的别名,可以理解为域名的重定向,主要方便IP地址的变更 NS 2 指定哪个域名服务器可以解析该域名的子域名 SOA 6 授权机构记录,记录ns中哪个是主服务器。 PTR 12 根据IP反向查找域名 HINFO 13 主机信息 MX 15.
dig命令DNS域名解析中的A AAAA CNAME MX NS记录, etc hosts本地域名IP映射,traceroute命令_dig ipv6
最新发布
2401_83703866的博客
04-04 795
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!![外链图片转存中…(img-cTNuIZtM-1712238670930)]由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新如果你觉得这些内容对你有帮助,可以+V:Vip1104z获取!!!(备注:嵌入式)你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
DNS解析与dig命令
程序员野蛮成长
07-12 354
DNS(Domain Name System,域名系统)也许是我们在网络中最常用到的服务,它把容易记住的域名,如 www.google.com 翻译成人类不易记住的IP地址,如 173.194.127.132,以便在方便人类输入的基础上让计算机能够精确地在网络中找到目标机器。dig(Domain Information Groper)是一个比较常用的 dns 分析及调试工具,一般 Linux 和 Mac 都已默认安装。
dig命令理解DNS
BUG之友的博客
05-20 1185
DNS(Domain Name System,域名系统),是一种用于将域名解析为IP的服务器系统,当你上网时输入一个网址,它之所以能够找到该网址指向的服务器地址,都是靠域名系统来进行解析的。 先来讲讲域名。以华工官网为例 www.scut.edu.cn,一个域名,其实是从最右端开始逐层向下的,也就是说.cn是最高级的域名,往下才是.edu,然后到.scut,最后www是华工网站服务器的主机名,通过这样一层一层就能找到你需要访问的服务器地址。 当我们输入一个网址时,DNS帮我们找到这个网址对应的服务器的过程是
DNS基础之使用dig查询DNS解析过程
zxl1990_ok的博客
06-24 4358
文中内容参考DNS 原理入门—阮一峰。DNS服务器怎么会知道每个域名的IP地址呢?答案是分级查询。根域名.root对于所有域名都是一样的,所以平时是省略的。 根域名的下一级,叫做"顶级域名"(top-level domain,缩写为TLD),比如:等等 再下一级叫做"次级域名"(second-level domain,缩写为SLD),比如里面的,这一级域名是用户可以注册的;...
DNS(dig、nslookup)
qq_53616768的博客
08-13 2036
x 用于快速查询一个ip对应的域名,即PTR记录,示例:dig -x 114.114.114.1143 / 12设置请求的tsig key,多用在测试多视图时debug,示。QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0 #响应的flag中的字段值。DNS的transfer id。-p 指定dns server的服务端口,默认为53,示例: dig@192.168.134.11 www.qq.com -p 5353。...
dig命令 查询域名DNS信息
01-09
dig命令的全称是“domain information groper”,它是一个用来灵活查询DNS的工具,它会打印出DNS域名服务器的回应,dig命令主要用来从DNS域名服务器查询主机地址信息。 dig命令与nslookup命令功能基本相同,但是dig...
node-dig-dns:对节点中的DNS查询使用dig命令(域信息摸索)
05-02
使用本机节点dns查询复杂的DNS非常麻烦。 这是unix / linux / macos dig命令(域信息摸索)的简单包装。 输出解析为JSON。 安装 npm i node-dig-dns -S 用法 dig([args], (options)) 您可以将中的添加到args数组。 ...
dig-DNS查询工具(Windows 版本)
02-17
dig 是 UNIX、BSD 系统中自带的 DNS 诊断工具,由于灵活性很大很受系统管理员们的欢迎。本软件是从 ICS 组织发布的 bind9 中提取出来的绿色软件,下载解压缩之后即可以使用(如果经常要使用的话可以考虑把所在路径...
dig域名解析,域名状态,dns查看工具
08-31
域名解析,域名状态,dns查看工具
dns测试利器dig windows版本
01-02
dns测试利器dig windows版本,能和unix系统上的dig软件相媲美。
DNS查询dig工具
01-10
window下DNS相关工具,如dig、whois等
dig命令命令常见用法
识途老码
02-01 6379
dig命令常见用法
利用dig分析DNS结构查询流程(二):NRDelegationAttack
qq_45675153的博客
09-04 257
NRDelegationAttack的攻击方式和NSNXAttack很相似,攻击者控制若干客户端和一个authoritative服务器,和NSNXAttack不同的是,有害authoritative委托到的并非不存在的域名,而是实际存在但不应答DNS请求的服务器,并且NRDelegation攻击的是执行递归查询的服务器。坏消息是,在每次重新启动事件之后,只要LRR中还有解析尚未开始的名称,递归解析器就会再次检查LRR中的n个名称中是否有任何一个已经在缓存或ADB中具有可用的解析(参见步骤2)。
DNS解析-dig工具的使用
王羲之的之的博客
07-21 2315
我们电脑的解析过程是先从本机的host里面解析,如果解析失败,则去本地dns服务器查询,然后根据查询方式的不一样分为递归和迭代,两者的区别是前者为类栈的查询方式,后者这是挨个问的方式。查询到一条记录符合我们需要查询的域名,并得到了一个别名,这个别名和我们在在第一步里面查到的是一致的,然后我们再次多次查询就可以得到最终的ip了。可以发现和默认的方式是一样的,看来默认的方式应该是递归。可以看到最后有两个ip地址,这里对于访问来说是随机的,也就是我们所述的负载均衡,从概率上应该是11的结果。...
linux 【网络】dig查询DNS详解
nb1253587023的博客
08-23 1364
a
Dig & DNS原理
测试
03-21 578
DNS(domain name system,域名系统)服务器可以查询指定域名的IP地址,也可以查询指定IP地址的域名。 1.域名的层级 根域名 (.root) 顶级域名(Top-level domain,tld) 二级域名(second-level domain,sld) 三级域名 … 主机(host) 主机....二级域名.顶级域名.根域名 即: host....sld.tld.r...
dig 怎么制定dns服务器 怎么查询
06-01
如果您想要指定使用特定的DNS服务器来进行查询,可以使用dig命令的@选项,后面跟随需要使用的DNS服务器的IP地址或域名。例如,如果要使用8.8.8.8作为DNS服务器进行查询,可以使用以下命令: ``` dig @8.8.8.8 baidu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值