如何擴大分布式環(huán)境中DNS服務(wù)攻擊面

作者：佚名 2017-12-20 10:47:56

服務(wù)器

分布式 Chaosnet很有趣，因為CH類經(jīng)常被用于服務(wù)區(qū)域的“bind.”，它包含了一些關(guān)于DNS服務(wù)器的有用信息。我想你應(yīng)該知道'version.bind'的記錄，通過該記錄你可以確定DNS服務(wù)器的版本。

成都創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都網(wǎng)站制作與策劃設(shè)計,洛川網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:洛川等地區(qū)。洛川做網(wǎng)站價格咨詢:18982081108

我目前在RCNTEC公司工作，每天都會與分布式環(huán)境打交道。每當我不得不使用ISC BIND來實現(xiàn)DNS服務(wù)時，我就會問自己——是否只有用于域名的NS服務(wù)器同時也被當做該域名的DNS服務(wù)器？“yandex.ru”域名的DNS區(qū)域是否只有兩個名稱服務(wù)器，同樣，“google.com”這個域名是否也只有四個名稱服務(wù)器呢？

很顯然，事實并非這樣。我認為很多擁有互聯(lián)網(wǎng)服務(wù)的公司已經(jīng)通過負載均衡，防火墻或者某種反向代理服務(wù)分散了它們的DNS基礎(chǔ)設(shè)施。

但是，我們該如何解決這個謎題，并得到有關(guān)后端DNS服務(wù)器的一些信息呢？現(xiàn)在是時候跟隨我的思路，深入了解一下DNS。

Chaosnet

你可以點擊這里閱讀更多關(guān)于Chaosnet的信息。換句話說，這是另一種處于ISO OSI第三層的網(wǎng)絡(luò)協(xié)議。關(guān)于DNS，Chaosnet被認為是類似于IN（互聯(lián)網(wǎng)）和HS（Hesiod）這樣的網(wǎng)絡(luò)類之一（代碼為CH ）。

Chaosnet很有趣，因為CH類經(jīng)常被用于服務(wù)區(qū)域的“bind.”，它包含了一些關(guān)于DNS服務(wù)器的有用信息。我想你應(yīng)該知道'version.bind'的記錄，通過該記錄你可以確定DNS服務(wù)器的版本。

有很多常用的基于這個記錄的DNS指紋技術(shù)。

來看看一個例子：

正如你在上圖所看到的，我通過我自己的DNS服務(wù)器請求了Chaosnet 的TXT記錄——'version.bind'，并得到了包含我的DNS服務(wù)器版本信息的響應(yīng)。

我們可以獲得DNS服務(wù)器版本信息，但是我們?nèi)匀粺o法枚舉中繼器后面的DNS服務(wù)器。另外，很多系統(tǒng)管理員都知道這個“特性”，并且他們也知道如何修復(fù)這個問題并隱藏DNS服務(wù)器版本。

即使我們的目標系統(tǒng)管理員沒有修補DNS域的“bind.”記錄，我們也無法枚舉DNS ——這只是版本信息，而不是IP或任何類似的東西。

另一個CH TXT記錄

TXT記錄“hostname.bind”是CH區(qū)域“bind”中可用的另一條記錄。我們來看看，如果我們從DNS服務(wù)器上請求這個記錄會發(fā)生什么：

不錯！我們得到了服務(wù)器的主機名。在我所演示的這種情況中，主機名只是內(nèi)部服務(wù)器的名稱，但是在分布式環(huán)境中會是什么呢？

我的經(jīng)驗表明，為了部署的方便，服務(wù)器主機名與他們的外部DNS名稱相等的情況非常普遍。那么在這種情況下，獲得了主機的內(nèi)部主機名稱，也就獲得了該主機的外部DNS名稱。我們可以簡單地解析一下主機的外部DNS名稱來獲得服務(wù)器的IP地址。

Unhidens腳本

我寫了一個小工具 ，通過運行“dig”來確定DNS服務(wù)器的版本和主機名，并解析收到的主機名。

讓我們來看看unhidens腳本針對俄羅斯域名注冊商的域名服務(wù)器發(fā)起請求后的輸出：

如何擴大分布式環(huán)境中DNS服務(wù)攻擊面

從上圖中你可以看到，在31.177.85.186后面只有一個DNS服務(wù)器。事實上，我們只是通過IP 31.177.85.194和名稱“ns9-1.nic.ru”擴大了我們的測試范圍。

那么Yandex呢？（譯者注：Yandex是俄羅斯及中亞國家使用的最大最多的一個搜索引擎）

我用我的腳本對他們的系統(tǒng)執(zhí)行了請求:)

 

如何擴大分布式環(huán)境中DNS服務(wù)攻擊面

哈哈！我們完全列舉出了放在公共機器后面的Yandex后端的DNS服務(wù)器。我們可以請求主機名并解析出它們的IP地址。

在請求Yandex的DNS服務(wù)器所發(fā)現(xiàn)的主機都被防火墻所保護，所以我無法直接與這些服務(wù)器直接通信。但我試圖對其他幾家公司執(zhí)行unhidens腳本后，有時我會看到一些存在漏洞的DNS軟件版本的機器，甚至有開放TCP 53端口的機器。

結(jié)論

本文中所描述的信息披露并不是一個重要的bug，但是可以被攻擊者用來擴大攻擊面。

嘗試對不同的域名運行unhidens腳本，我相信你會喜歡上這個腳本！

另外，請記住“bind.”域并不僅僅是ISC BIND的功能，我看到很多不同的DNS服務(wù)器均受到這種信息泄露的影響。

如果你想在你的DNS服務(wù)器上修復(fù)此安全問題，我建議你手動處理CH域的“bind.”。

如果你使用了ISC BIND，那么你只需在'named.conf'中添加如下內(nèi)容即可：

并創(chuàng)建“bind.dns”區(qū)域文件：

這不是一種隱藏DNS服務(wù)器版本信息和主機名的最簡單的方法，但是使用此配置，你可以將記錄所有的 “bind.” 請求行為， 這樣你可以跟蹤所有試圖請求有關(guān)你的機器的敏感信息的客戶端來進行攻擊分析和攻擊溯源。

文章名稱：如何擴大分布式環(huán)境中DNS服務(wù)攻擊面
分享URL：http://www.5511xx.com/article/dhjecps.html