今天分享的是一篇关于域名解析误配置导致拒绝服务攻击的文章,“TsuNAME: exploiting misconfiguration and vulnerability to DDoS DNS”。文章的第一作者来自于荷兰SIDN实验室。论文通过测量研究证明了域名解析循环依赖(TsuNAME漏洞)的实际威胁。研究论文发表于2021年网络测量领域国际顶级会议ACM IMC(录用率:55/197=28%)。
全文共2080字,阅读时间约6分钟
01
【背景介绍】
域名系统作为互联网关键网络基础设施之一,负责将域名标识符翻译转换成为IP主机地址。在此过程中,域名解析流程依赖于“NS”记录[2]指明域名权威服务器信息。然而,若“NS”记录配置错误,便有可能导致NS记录形成循环依赖。
02
【研究方法】
图表 3 实验拓扑示意图(黄色节点为网络测量节点、红色为域名解析器、蓝色为解析器缓存、绿色为权威服务器)
2. 基于受控僵尸网络的实验
研究团队使用一个已被接管的僵尸网络发起域名查询,以模拟真实网络环境中的攻击。该测量包括以下阶段:
• 准备阶段:对僵尸主机的请求回复“localhost”,整个僵尸网络保持沉默。
• 授权阶段:将僵尸域名的NS记录修改为研究团队控制的权威服务器。本阶段实验发现,整个僵尸网络每10分钟会产生10k次查询。
• 循环依赖阶段:部署NS的循环依赖记录,并分析权威服务器在TsuNAME漏洞下所遭受的“攻击”情况。循环依赖记录的TTL初始设置为1小时,随后调整为1秒,以观察NS记录的TTL在TsuNAME漏洞事件中的影响。
03
【主要发现】
研究团队对权威服务器收到的查询流量从归属、请求次数等方面进行了分析,得到了TsuNAME的放大规模及漏洞的更多细节,主要结论包括:
图表4:探针两次测量结果(左侧:1次请求;右侧:周期性请求)
图表5:探针测量权威侧请求情况(1次请求)
图表6:僵尸网络测量权威侧请求情况
研究团队在对请求来源做AS聚类时发现,无论是在2020年.nz顶级域中的TsuNAME事件,还是本文的复现实验中,Google Public DNS(GDNS) 都贡献了最大的查询量。考虑到Google DNS是最流行的的公共域名解析服务之一[4],其本身所承载的域名解析请求量很大,出现上述现象也在意料之中。
图表7:.nz域TsuNAME事件期间归属Google(AS15169)及其他AS的查询次数
图表8:TsuNAME问题复现期间归属Google(AS15169)及其他AS的查询次数
04
【结论】
域名解析循环依赖问题已经有30多年的历史了。技术社群早在RFC 1536[1]中便提及了该问题。但是,其安全威胁一直被严重低估。.nz顶级域权威服务器遭受的拒绝服务攻击表明,直到今天,域名解析循环依赖漏洞仍然能爆发出巨大的能量。
原文链接:
https://dl.acm.org/doi/pdf/10.1145/3487552.3487824
参考文献:
[1] A. Kumar, J. Postel, C. Neuman, P. Danzig, and S. Miller. 1993. Common DNS Implementation Errors and Suggested Fixes. RFC 1536. https://www.rfc-editor.org/rfc/rfc1536.txt
[2] 1987. Domain Names - Implementation and Specification. RFC 1035. https://www.rfc-editor.org/rfc/rfc1035.txt
[3] M. Andrews. 1998. Negative Caching of DNS Queries (DNS NCACHE). RFC 2308. https://www.rfc-editor.org/rfc/rfc2308.txt
[4] Giovane C. M. Moura, Sebastian Castro, Wes Hardaker, Maarten Wullink, and Cristian Hesselman. 2020. Clouding up the Internet: How Centralized is DNS Traffic Becoming?. In Proceedings ofthe ACM Internet Measurement Conference (Virtual Event, USA) (IMC ’20). Association for Computing Machinery, New York,NY, USA, 42-49.
[5] Google 2020. Public DNS. https://developers.google.com/speed/public-dns/.
编辑&审校|刘保君、张一铭

推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...