欢迎进入Allbet官网。Allbet官网开放Allbet登录网址、Allbet开户、Allbet代理开户、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

usdt手机钱包(www.caibao.it):两个有趣的DNS 安全问题研究

admin2021-09-12140安全技术漏洞分析

USDT官网

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

一、基础观点

1.1 观点

域名系统(Domain Name System,DNS)是互联网的一项基础服务,默认端口53,可以实现域名和IP地址的相互映射,其数据库涣散在全球多地。

1.2 协议

DNS默认使用UDP协议通讯,然则由于UDP的报文长度限制为512字节,当DNS请求跨越此长度时会自动使用TCP协议提议请求。

1.3 域名条理

DNS(或者说域名)是划分条理的,它有根域(Root Doamin)、顶级域(Top Level Domain,TLD)、二级域(Second Level Domain,SLD)等级别,如下图以www.baidu.com先容其层级,其中根域是一个点,只是默认情况下都不再输入了。通常我们说全球有13台根域名服务器,现实上是有13个根域名服务器地址,服务器数目有1000+,接纳任播手艺实现负载平衡。

好比接见:https://www.qq.com. ,然则有些域名后面加点是不行的,应该是服务端做了限制,好比https://www.baidu.com.

1.4 纪录类型

DNS 中,常见的资源纪录类型有:

  • NS (Name Server):指定剖析域名或子域名的 DNS 服务器
  • MX(Mail Exchanger):指定吸收信息的邮件服务器
  • A(Address):指定域名对应的 IPv4 地址纪录
  • AAAA:指定域名对应的 IPv6 地址纪录
  • CNAME(Canonical Name):一个域名映射到另一个域名或 CNAME 纪录或映射到一个 A纪录

1.5 剖析历程

域名剖析是有顺序的,一样平常首先通过host 文件的静态剖析,然后通过DNS 服务器的动态剖析,静态剖析的优先级高于动态剖析。

剖析的历程分为以下几步:

  1. 在浏览器输入www.baidu.com 域名,操作系统会检查主机Host文件,若是有则直接使用此剖析效果
  2. 若是Host 文件没有这个DNS 剖析纪录,则会查找内陆的DNS 缓存,若是有则直接使用此剖析效果
  3. 若是内陆缓存没有这个域名的剖析纪录,则会查找内陆DNS服务器,若是有则直接使用此剖析效果
  4. 若是内陆DNS服务器没有这个域名的剖析纪录,但在缓存中发现了映射关系,则直接使用此剖析效果,但此剖析不具有权威性
  5. 若是内陆机械和DNS服务器都没有此剖析纪录,内陆DNS就会把请求发送至根域服务器,根域服务器会凭据顶级域类型(.com)返回一个可以剖析此类型的顶级域服务器地址;内陆DNS服务器收到此地址后会向此顶级域地址提议请求,若顶级域服务器自己无法剖析会返回一个二级域(baidu.com)服务器地址,内陆DNS服务器会再次实验请求,云云重复查询,直到找到剖析效果或返回无法剖析的错误信息
  6. 最后浏览器会凭据返回的信息向www.baidu.com 的IP提议请求

注:内陆DNS服务器也可以说成递归剖析器(Resolver),后面的根域、顶级域、二级域DNS服务器也可以统一说成权威域名服务器(Authoritative Name Server)。

二、DNS 挟制破绽

2.1 破绽原理

DNS挟制破绽通常是由废弃的DNS纪录造成的,废弃DNS 纪录是指一个DNS指向的资源已经被释放掉了,但剖析仍然存在,若其指向的资源可被第三方获取,则存在挟制风险。常见的几种剖析纪录类型都存在此风险,好比A、CNAME、MX、NS等,但实在有些场景很难行使,好比A纪录的挟制需要能够获得目的站点的IP,这个是异常难题的。

对照常见的挟制是CNAME 纪录挟制或 NS纪录挟制,以NS纪录挟制为例,在2020年CCS顶会的一篇文章《Zombie Awakening: Stealthy Hijacking of Active Domains through DNS Hosting Referral》中提出了一种僵尸激活攻击(Zombie Awakening),其行使条件有两点:

  • 域名的二级域指向了一个DNS 托管服务(一个第三方的DNS剖析服务,许多云厂商都市提供这个服务)
  • DNS 托管服务商未验证域名的归属(大多数厂商只会验证在自家注册的域名,现实也很难验证所有的域名)

破绽场景如上图(其历程忽略了根域)所示,其历程是一个请求example.com 域名的DNS 剖析历程,在ns.example.com 的二级域DNS服务器中存储了example.com 的NS纪录和A纪录。其中如下这条NS纪录

example.com NS ns.provider.com

虽然仍然存在,但ns.provider.com 的服务提供商已经删除了此项设置(好比用户已经不在使用provider.com 的服务了)。此时,上面那条NS 纪录就可以称之为僵尸纪录或失效纪录。

破绽行使历程就是如上图所示,分为以下几个步骤:

攻击者在第三方DNS 托管服务商(provider.com)添加此域名:example.com(1),并设置两个剖析纪录(2)

example.com NS ns.provider.com
example.com A IPattacker

然后刻意的提议大量NS剖析请求(3),当内陆DNS服务器没有此纪录时会向顶级域服务器提议请求(4),顶级域服务器返回一个NS纪录(5)

,

Usdt第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,
example.com NS ns.example.com

内陆DNS服务器凭据NS 纪录进一步向二级域(ns.example.com)提议请求(6),此时内陆DNS服务器会收到一个A纪录和两条NS纪录并缓存下来(7),在这个例子中此前从顶级域获得的NS纪录会被从二级域获得的相同的纪录替换掉,由于二级域比顶级域具有更高的优先级(8)。

然后攻击者向内陆DNS服务器提议大量A纪录剖析请求(9),此时服务器中缓存了两个NS纪录,一个真实的和一个废弃的,若是是随机选择的(10),则会有50%的机遇返回攻击者的IP,那么那条废弃的剖析路径就相当于被激活了(11)。而且这条A纪录还会被缓存在递归剖析服务器中,直到过时。攻击者可以实验接见这个域名来判断攻击是否有用(13),若能够接见恶意IP则说明乐成(14)。

2.2 破绽测试

使用我自己的万网域名和某第三方的DNS托管服务,在原有万网DNS的基础上添加第三方的DNS地址。


NS纪录乐成剖析后如下图所示

使用第三方DNS也可以返回准确的A纪录

然后在第三方DNS服务商删除此域名,可以看到已无法获取A纪录

然后使用另外一个第三方DNS服务商的账户添加域名并设置恶意的剖析(A纪录为127.0.0.1),然后使用dig下令指定外部DNS 服务器举行测试(内陆的应该有了准确IP地址的缓存,可能无法复现)。如下图所示,使用差别的DNS 服务器,有几率返回差别的效果,其中就有恶意A纪录。

2.3 破绽修复

此类破绽关键在于域名管理员要合理设置的域名剖析纪录,不再使用的要及时下掉!

三、DNS 拒绝服务

3.1 破绽原理

DNS 拒绝服务对照常见的可能是行使DNS Flood,做流量放大攻击其他服务器,但本质不是DNS的破绽。这里先容一种最新的针对DNS 的拒绝服务攻击–NXNSAttack,是揭晓在2020年平安顶会USENIX上最新的一篇研究成果《NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities》。该文章提出一种新型的DNS 放大攻击,行使DNS 对NS纪录完全剖析的特征,可以实现多倍的流量放大,对DNS 服务器造成拒绝服务。

在1.5 节或者2.1 节我们可以看到一个完整的理论上的DNS剖析历程,但现实上一个递归剖析器与DNS服务器(顶级域、二级域等)的通讯要远多于上图所示次数。一个真实DNS请求的如下图所示,当递归剖析器向顶级域提议请求时(1)会获得一个NS 纪录列表(2),然后会向每个NS纪录提议请求(3-6),每个NS地址会返回对应的A纪录和NS纪录(7-10),此时递归剖析器已经获取到了二级域的NS服务器IP地址,但同时也收到对应的NS纪录,由于DNS剖析的特征(会对NS纪录举行完全的剖析,即只要收到NS的响应就会提议NS请求)递归剖析器会提议一次A纪录请求,向二级域DNS问询NS地址的IP地址(11-14,16-19),最后询问主域名的IP(15)获得地址(20)。

行使这个特征,攻击者就可以实现DNS流量放大,到达拒绝服务的效果。破绽行使需要具备两个条件:

  • 可以提议DNS请求
  • 拥有大量二级域NS纪录

提议DNS 请求就不说了,二级域NS纪录通过购置域名并自定义设置,许多域名服务商可以购置稀奇廉价的域名,使用较低的成本就可以获得大量的NS纪录。如下图所示,当知足了上述两个条件,攻击者可以提议一个 sd1.attacker.com 的DNS 请求,请求会到达attacker.com 的威域DNS服务器并返回提前设置好的大量NS纪录,这些NS纪录指向的就是受害者二级域,此时攻击者的内陆递归剖析器会向victimc.om 的DNS服务器提议大量NS剖析请求,其数目时NS纪录总量的两倍,由于每个纪录会提议IPv4和IPv6两次请求。

在这种攻击模式下递归剖析器和目的二级域DNS服务器都承受了大量的流量(与请求的Client数目和NS纪录数目有关),是双向的攻击。

3.2 破绽修复

这类型破绽需要修复DNS剖析程序的逻辑,不再完全剖析NS纪录,而是设置上限K,最多剖析K个。

四、DNSSEC

DNS平安扩展(Domain Name System Security Extensions,DNSSEC),是由IETF提供的一系列DNS平安认证的机制。它接纳基于公共密钥加密的数字署名,从而增强 DNS 验证强度。DNSSEC 并非对 DNS 查询和响应自己举行加密署名,而是由数据所有者对 DNS 数据自身举行署名。

每一个 DNS 区均包罗一个公私秘钥对,DNS 区所有者使用该区域的私钥对区域内的 DNS 数据举行署名,为这些数据天生数字署名。该区域的公钥则在区域内公然公布,供全体用户检索。凡在区域内查找数据的递归剖析器,还必须检索区域公钥,从而使用公钥验证 DNS 数据的真实性。剖析器确认检索到的 DNS 数据的数字署名是否有用。若是有用,证实 DNS 数据正当,则将 DNS 数据返回给用户。若是署名未通过验证,剖析器会假设发生攻击,抛弃数据并向用户返回错误。因此,DNSSEC 相当于在 DNS 协议中新增了两项主要功效:

  • 数据泉源验证 - 剖析器可以通过加密的方式验证收到的数据是否确实来自其认定的数据传送区域。
  • 数据完整性珍爱 - 剖析器可以确信,自区域所有者使用区域私钥首次举行数据署名以来,数据在传输历程中并未遭到修改。

许多域名服务商已经提供了DNSSEC的设置能力。

五、参考文献

1、Zombie Awakening- Stealthy Hijacking of Active Domains through DNS Hosting Referral.pdf
2、NXNSAttack- Recursive DNS Inefficiencies and Vulnerabilities.pdf

网友评论

3条评论
  • 2021-06-15 00:00:11

    据悉,已在2020年“牵手行动”成员名单中的社会组织无须再报名,自动延续加入到2021年“牵手行动”,申请退出流动的社会组织以邮件方式见告省民政厅并简要说明退出缘故原由。有意愿、相符条件的的社会组织报名后,经筛选组建15个关爱小组,划分对接15个经济欠蓬勃区域(汕头、韶关、河源、梅州、惠州、汕尾、江门、湛江、阳江、茂名、肇庆、清远、潮州、揭阳、云浮市)开展流动。厉害厉害,膜拜你

最新评论