[[183819]]

前言

為了尋找新的有趣的域名解析系統(tǒng)漏洞，我決定查看各種各樣的頂級(jí)域名，并分析它們的錯(cuò)誤配置，經(jīng)過一些初步的搜索，我發(fā)現(xiàn)有一個(gè)很好的開源服務(wù)工具，可以幫助DNS管理員掃描它們的域名系統(tǒng)，察看是否存在錯(cuò)誤配置，這就是瑞典互聯(lián)網(wǎng)基金會(huì)開發(fā)的DNScheck工具,該工具會(huì)高亮顯示出各種各樣的奇怪DNS配置錯(cuò)誤，這種錯(cuò)誤例如：有一個(gè)權(quán)威名稱服務(wù)器列表，一個(gè)域名的權(quán)威名稱服務(wù)器和該名稱服務(wù)器在上一級(jí)頂級(jí)名稱服務(wù)器的設(shè)置之間不配置(引起這種問題的原因在“通過劫持DNS解析服務(wù)器攻擊目標(biāo)”這篇文章中可以看到)。盡管這些域名有配置錯(cuò)誤，但是它并沒有明確指出漏洞在哪里，不過它可以讓我們知道：如果發(fā)現(xiàn)有些配置是錯(cuò)誤的，那么研究這些錯(cuò)誤配置，將是研究工作的一個(gè)不錯(cuò)的開始。

[[183820]]

截止寫這篇文章時(shí)，有1519個(gè)頂級(jí)域名。我并沒有手動(dòng)的逐個(gè)掃描每一個(gè)頂級(jí)域名，我選擇寫一個(gè)腳本來自動(dòng)掃描所有頂級(jí)域名。我已將這個(gè)腳本的掃描結(jié)果放在了Github上，名稱是“TLD Health Report”。該腳本可以高亮顯示出有嚴(yán)重配置錯(cuò)誤的頂級(jí)域名。在花了一兩個(gè)小時(shí)對(duì)頂級(jí)域名配置錯(cuò)誤進(jìn)行檢查后，我在“.gt”頂級(jí)域名上發(fā)現(xiàn)了一個(gè)有趣的問題，該錯(cuò)誤可以從Github的頁面看到，下面是一部分：

正如上面我們看到的，maestro.gt域名存在多個(gè)錯(cuò)誤或警告狀態(tài)，有無法路由錯(cuò)誤，并且是“.gt”頂級(jí)域名的一個(gè)無效的主名稱服務(wù)器(MNAME)。我們可以通過執(zhí)行下面的dig命令，來看一下這個(gè)配置：

如上所示，我們對(duì)隨機(jī)的一個(gè)“.gt”域名進(jìn)行dig后得到了一個(gè)NXDOMAIN錯(cuò)誤(因?yàn)槲覀冋?qǐng)求的域名不存在，可以被注冊(cè))，而且與此同時(shí)，我們得到了一個(gè)起始授權(quán)機(jī)構(gòu)(SOA)的記錄，maestro.gt域名作為了主名稱服務(wù)器。因此任何“.gt”頂級(jí)域名下，不存在的域名發(fā)送的請(qǐng)求，在返回的SOA記錄中的域名都是maestro.gt(SOA記錄)。

“無法解決的”另一個(gè)說法是“還沒有解決”

如果你讀過我之前寫的關(guān)于DNS漏洞的一篇文章，你就有可能已經(jīng)猜到了為什么這些域名問題還沒有被解決。那是因?yàn)檫@些域名不存在(可以被別人注冊(cè)并使用)!事實(shí)證明，maestro.gt域名也是開放注冊(cè)的。在進(jìn)行了一些搜索和Google翻譯后，我發(fā)現(xiàn)在“Registro de Dominios .gt.”上可以注冊(cè)該域名，每年大約需要60美元(至少需要注冊(cè)兩年)。

你相信它使用Visa卡嗎?

雖然價(jià)格昂貴，但是和美國中部的許多其他頂級(jí)域名注冊(cè)相比，它的注冊(cè)過程很快，并且完全自動(dòng)化。唯一的缺陷是我的借記卡因?yàn)榭梢苫顒?dòng)被立即凍結(jié)了，我不得不去網(wǎng)上解凍它，使訂單可以通過：

很顯然，上午1:30買了一個(gè)危地馬拉域名是卡片被凍結(jié)的理由(成功注冊(cè)了這個(gè)域名)。

發(fā)現(xiàn)可能存在的問題

由于起始授權(quán)機(jī)構(gòu)的主名稱服務(wù)器(SOA MNAME)是DNS的一個(gè)復(fù)雜特性，我無法預(yù)測(cè)DNS流量中有什么。因此我配置了我的“Bind DNS”服務(wù)器(使用了剛才成功注冊(cè)的域名)，并發(fā)送查詢，來請(qǐng)求“.gt”下所有域名的A記錄，并根據(jù)我的IP地址，來過濾出所有數(shù)據(jù)包。我設(shè)置了tcpdump，將所有DNS流量打包成一個(gè)pcap文件，便于后面的分析。

我在早晨發(fā)現(xiàn)的東西是我遠(yuǎn)遠(yuǎn)沒有預(yù)料到的，當(dāng)我檢查pcap數(shù)據(jù)時(shí)，我發(fā)現(xiàn)來自危地馬拉各地的計(jì)算機(jī)向我的服務(wù)器發(fā)送了DNS查詢請(qǐng)求。

世界上正在發(fā)生什么呢?進(jìn)一步觀察結(jié)果只會(huì)產(chǎn)生更多的混亂：

大部分DNS UPDATE請(qǐng)求流量來自于內(nèi)部IP地址。上面是一個(gè)DNS UPDATE請(qǐng)求的例子，正在嘗試更新我DNS服務(wù)器的區(qū)域，目的是為了更新一個(gè)SRV記錄，包含一個(gè)LDAP服務(wù)器，它屬于危地馬拉的一個(gè)隨機(jī)的政府網(wǎng)絡(luò)。

WINDOWS活動(dòng)目錄域

為了理解我們得到的這個(gè)流量是什么，我們需要快速了解一下什么是Windows活動(dòng)目錄(AD)域和動(dòng)態(tài)DNS(DDNS)。Windows域的結(jié)構(gòu)與互聯(lián)網(wǎng)域名的結(jié)構(gòu)大致相同。創(chuàng)建一個(gè)Windows域時(shí)，你必須指定一個(gè)DNS后綴，這個(gè)DNS后綴可以看作是一個(gè)基域(父域)，在這個(gè)父域下，所有子域或機(jī)器的簡單主機(jī)名都包含這個(gè)子域名。例如，我們有一個(gè)thehackerblog.com域，在這個(gè)父域下，有兩個(gè)活動(dòng)目錄網(wǎng)絡(luò)：east和west。在thehackerblog.com父域下，我們可以設(shè)置兩個(gè)子域：east.thehackerblog.com和west.thehackerblog.com。如果我們有一個(gè)專門的WEB服務(wù)器來放置east部門的所有文檔，它的主機(jī)名就有可能類似于documentation.east.thehackerblog.com。我們?yōu)樵摼W(wǎng)絡(luò)建立了一個(gè)域樹，如下示例：

類似于documentation.east.thehackerblog.com的主機(jī)名允許計(jì)算機(jī)和人們?cè)谶@個(gè)網(wǎng)絡(luò)中輕松地找到對(duì)方。該網(wǎng)絡(luò)的DNS服務(wù)器會(huì)將這個(gè)人類可讀的主機(jī)名轉(zhuǎn)換成該機(jī)器指定的IP地址，這樣你的計(jì)算機(jī)才會(huì)知道去哪請(qǐng)求你尋找的信息。因此，當(dāng)你在瀏覽器鍵入documentation.east.thehackerblog.com這個(gè)內(nèi)部的網(wǎng)站URL時(shí)，你的計(jì)算機(jī)首先會(huì)向該網(wǎng)絡(luò)的DNS服務(wù)器發(fā)出請(qǐng)求，目的是為了獲得這個(gè)主機(jī)名對(duì)應(yīng)的IP地址，從而找到這個(gè)主機(jī)并將流量路由過去。

根據(jù)這種結(jié)構(gòu)，產(chǎn)生了一個(gè)問題，在這個(gè)網(wǎng)絡(luò)中，由于機(jī)器的IP地址會(huì)經(jīng)常改變，當(dāng)documentation.east.thehackerblog.com的IP突然改變后，會(huì)發(fā)生什么呢?網(wǎng)絡(luò)中的DNS服務(wù)器如何才能知道該機(jī)器的新IP地址呢?

WINDOWS動(dòng)態(tài)DNS(DDNS)

Windows活動(dòng)目錄網(wǎng)絡(luò)通過動(dòng)態(tài)更新機(jī)制來解決這個(gè)問題，動(dòng)態(tài)更新的核心其實(shí)很簡單。為了將documentation.east.thehackerblog.com的記錄保持為正確的和最新的，該服務(wù)器會(huì)偶爾訪問網(wǎng)絡(luò)的DNS服務(wù)器，并更新它的DNS記錄，例如，如果documentation.east.thehackerblog.com的IP地址突然改變了，該服務(wù)器會(huì)訪問域的DNS服務(wù)器，并告訴它：“嗨，我的IP改變了，請(qǐng)將documentation.east.thehackerblog.com的IP記錄更新為我的新IP，以便于人們知道我在哪”。這就好比一個(gè)真實(shí)世界的人在搬家后，它可以通過郵件，將新的地址通知給它的朋友、工作場(chǎng)所、及在線商店。

這個(gè)技術(shù)的關(guān)鍵點(diǎn)總結(jié)如下(這是從“理解動(dòng)態(tài)更新”中引用的)：

1.DNS客戶端使用該計(jì)算機(jī)的DNS域名發(fā)送一個(gè)SOA類型的查詢。

2.該客戶端計(jì)算機(jī)使用它當(dāng)前配置的完全合格域名(FQDN)(如newhost.tailspintoys.com)，作為這個(gè)查詢的指定名稱。

對(duì)于標(biāo)準(zhǔn)的主要區(qū)域，在SOA查詢響應(yīng)中返回的主服務(wù)器或擁有者是固定的和靜態(tài)的。主服務(wù)器名稱始終與準(zhǔn)確的DNS名稱相匹配,因?yàn)樵撁Q會(huì)存儲(chǔ)在區(qū)域中，并顯示在SOA資源記錄中。然而,如果正在更新的區(qū)域是目錄集成區(qū)域,則任何加載此區(qū)域的DNS服務(wù)器都可以響應(yīng)此SOA查詢,并在SOA查詢響應(yīng)中動(dòng)態(tài)插入它自己的名稱作為此區(qū)域的主服務(wù)器。

3.DNS客戶端服務(wù)會(huì)嘗試聯(lián)系主DNS服務(wù)器。

客戶端會(huì)對(duì)它名稱的SOA查詢響應(yīng)進(jìn)行處理，以確定這個(gè)IP所在的、接受它名稱的、作為主服務(wù)器的DNS服務(wù)器是被授權(quán)的。然后，它將根據(jù)需要執(zhí)行下列步驟，以聯(lián)系并動(dòng)態(tài)更新主服務(wù)器。

(1)客戶端向SOA查詢響應(yīng)中確定的主服務(wù)器發(fā)送一個(gè)動(dòng)態(tài)更新請(qǐng)求。

如果更新成功，則不執(zhí)行其他操作。

(2)如果更新失敗，接下來，客戶端針對(duì)SOA記錄中指定的區(qū)域名稱，發(fā)送一個(gè)NS類型的請(qǐng)求。

(3)當(dāng)客戶端收到此查詢的響應(yīng)時(shí)，向收到的響應(yīng)列表中的第一個(gè)DNS服務(wù)器發(fā)送一個(gè)SOA查詢。

(4)解析此SOA查詢后，客戶端向SOA解析出的服務(wù)器發(fā)送一個(gè)動(dòng)態(tài)更新。

如果成功，則不執(zhí)行其他操作。

(5)如果更新失敗，根據(jù)第(2)步中查詢響應(yīng)的服務(wù)器列表，客戶端繼續(xù)下一個(gè)SOA查詢過程。

4.聯(lián)系到可以執(zhí)行更新的主服務(wù)器后，客戶端將發(fā)送更新請(qǐng)求，隨后服務(wù)器將處理該請(qǐng)求。

更新請(qǐng)求的內(nèi)容包括指示添加“newhost.tailspintoys.com”的 A(以及可能的PTR)資源記錄,并刪除“oldhost.tailspintoys.com”的這些相同類型的記錄，因?yàn)樵撁Q先前已經(jīng)注冊(cè)過。

服務(wù)器還將進(jìn)行檢查，以確保允許根據(jù)客戶端請(qǐng)求進(jìn)行更新。對(duì)于標(biāo)準(zhǔn)主要區(qū)域，動(dòng)態(tài)更新并不安全，因?yàn)槿魏慰蛻舳说母聡L試都會(huì)成功。對(duì)于活動(dòng)目錄集成區(qū)域，更新是安全的，并且使用基于目錄的安全設(shè)置執(zhí)行更新。

上面的過程是比較啰嗦的，主要過程可以精簡一些，因此我將上面步驟的重要部分加粗了，并將上面步驟中客戶端最重要的工作總結(jié)如下：

1.機(jī)器使用當(dāng)前完整的主機(jī)名，向網(wǎng)絡(luò)中的DNS服務(wù)器發(fā)送一個(gè)SOA查詢。我拿剛才的例子來說明，它會(huì)包含documentation.east.thehackerblog.com作為主機(jī)名。

2.網(wǎng)絡(luò)中的DNS服務(wù)器收到這個(gè)查詢后，會(huì)返回它自己的一個(gè)SOA記錄，內(nèi)容是指定的主名稱服務(wù)器的主機(jī)名，例如，這可能類似于ns1.thehackerblog.com。

3.然后，客戶端解析這個(gè)SOA記錄，并訪問解析出的ns1.thehackerblog.com主服務(wù)器，并發(fā)送它想要做的DNS更新/修改。

4.ns1.thehackerblog.com DNS服務(wù)器收到這個(gè)更新后，將documentation.east.thehackerblog.com的IP修改為新的IP。好了，一切路線再次正常了!

Windows域命名約定&最佳實(shí)踐指南

在我們理解危地馬拉DNS異常前，我們需要了解的最后一段信息是Windows域的要求：

“默認(rèn)情況下，DNS客戶端不會(huì)嘗試動(dòng)態(tài)更新頂級(jí)域名(TLD)區(qū)域，任何使用單標(biāo)簽命名的區(qū)域都會(huì)被認(rèn)為是一個(gè)TLD區(qū)域，例如，com、edu、blank、my-company。為了允許DNS客戶端能動(dòng)態(tài)更新TLD區(qū)域，你可以使用更新頂級(jí)域名區(qū)域策略設(shè)置，或者你可以修改注冊(cè)表”

因此，默認(rèn)情況下，你不能有類似于companydomain的一個(gè)Windows域，因?yàn)樗菃螛?biāo)簽的，會(huì)被Windows認(rèn)為是一個(gè)頂級(jí)域名，如.com，.net，或.gt。而這個(gè)設(shè)置可以(有希望的)在每個(gè)單獨(dú)的DNS客戶端被禁用，這很容易，僅需要companydomain.com一個(gè)域。雖然不是所有的公司都遵循這個(gè)說明，但還是在強(qiáng)烈建議，因?yàn)槭褂脝螛?biāo)簽域名時(shí)，如果你內(nèi)部網(wǎng)絡(luò)域名的末端被注冊(cè)為互聯(lián)網(wǎng)頂級(jí)域名的DNS根區(qū)域，就有可能引起很多沖突(一個(gè)著名的問題是名稱碰撞，這是一個(gè)熱門的網(wǎng)絡(luò)討論話題，并且還會(huì)繼續(xù))。

把它們?nèi)旁谝黄?---成為你域名的主人

現(xiàn)在我們有了所有信息，情況變得更加明朗了，危地馬拉國家有很多Windows網(wǎng)絡(luò)，在這些網(wǎng)絡(luò)中有內(nèi)部的Windows域，它們采用了“.gt”頂級(jí)域名的子域名。例如，如果微軟在危地馬拉有一個(gè)部門，他們的內(nèi)部網(wǎng)絡(luò)域名有可能類似于microsoftinternal.com.gt，這個(gè)機(jī)器會(huì)周期性的向它網(wǎng)絡(luò)中的DNS服務(wù)器發(fā)送動(dòng)態(tài)DNS更新，以確保它網(wǎng)絡(luò)中的主機(jī)名是最新的，并能正確路由。由于種種理由，例如防止與外部公司互聯(lián)網(wǎng)子域名產(chǎn)生名稱碰撞，許多網(wǎng)絡(luò)很可能利用內(nèi)部網(wǎng)絡(luò)域名，該域名在更廣泛的互聯(lián)網(wǎng)中是不存在的，例如在這個(gè)例子中，微軟可以使用一個(gè)內(nèi)部的活動(dòng)目錄域名，如microsoftinternal.com.gt，從而在這個(gè)域里，就不會(huì)和外部互聯(lián)網(wǎng)子域名microsoft.com.gt產(chǎn)生名稱碰撞。

問題是，很多巧妙的DNS配置錯(cuò)誤，有可能造成本來是向內(nèi)部域的DNS服務(wù)器發(fā)送的請(qǐng)求，卻發(fā)送到了頂級(jí)域名服務(wù)器上。這個(gè)問題被稱為名稱碰撞，并且是一個(gè)證據(jù)充分的問題，這有時(shí)也被稱為DNS查詢“泄漏”。

如果一個(gè)機(jī)器使用一個(gè)DNS解析器，并且不清楚該內(nèi)部網(wǎng)絡(luò)的DNS設(shè)置，或配置錯(cuò)誤，導(dǎo)致查詢到了外部網(wǎng)絡(luò)的DNS服務(wù)器，從而會(huì)使這個(gè)查詢泄漏到“.gt”頂級(jí)域名服務(wù)器上，因?yàn)樗麄兪钦麄€(gè)頂級(jí)域名空間的授權(quán)名稱服務(wù)器。名稱碰撞問題是非常常見的，并且因?yàn)檫@個(gè)原因，新的頂級(jí)域名往往會(huì)做大量的審查，以確保它們不是一般的內(nèi)部網(wǎng)絡(luò)域名，例如.local，.localhost，.localdomain，等等。

當(dāng)有“.gt”擴(kuò)展的一個(gè)內(nèi)部區(qū)域發(fā)生泄漏時(shí)，一個(gè)機(jī)器嘗試更新一條內(nèi)部DNS記錄，并發(fā)送DNS更新查詢，但是意外的發(fā)送到了“.gt”頂級(jí)域名服務(wù)器上。例如，microsoftinternal.com.gt內(nèi)部域有一個(gè)主機(jī)，并且向com.gt頂級(jí)域名服務(wù)器發(fā)送DNS更新查詢。以下是執(zhí)行此查詢的示例，使用了nsupdate DNS命令行工具(大部分OSX和Linux系統(tǒng)都支持)：

我們可以看到該查詢導(dǎo)致了一個(gè)NXDOMAIN錯(cuò)誤，但無論如何，卻返回了一個(gè)SOA響應(yīng)，并包含了maestro.gt，它作為了主名稱服務(wù)器。對(duì)于該查詢，這是一個(gè)有效的SOA響應(yīng)，因此所有主機(jī)會(huì)繼續(xù)向maestro.gt服務(wù)器發(fā)送DNS更新查詢，它的IP地址是52.15.155.128(這是我的服務(wù)器，我已經(jīng)注冊(cè)了maestro.gt域名)。此更新查詢會(huì)以失敗結(jié)束，因?yàn)槲覍⒆约旱腄NS服務(wù)器設(shè)置成拒絕客戶端的更新請(qǐng)求(因?yàn)槲也幌胫鲃?dòng)干擾這些機(jī)器/網(wǎng)絡(luò))。這就是為什么所有這些隨機(jī)的機(jī)器會(huì)向我的maestro.gt服務(wù)器發(fā)送DNS更新請(qǐng)求的原因。

我們現(xiàn)在遇到的問題從本質(zhì)上說是一個(gè)新的DNS漏洞，這是名稱碰撞的結(jié)果，導(dǎo)致動(dòng)態(tài)DNS更新被發(fā)送到“登記在頂級(jí)域名的SOA記錄列表中”的任何服務(wù)器。與常規(guī)名稱碰撞不同，為了利用這個(gè)漏洞，我不需要注冊(cè)一個(gè)完整的新的頂級(jí)域名，我們只需要注冊(cè)一個(gè)普通域名，只要這個(gè)域名存在于頂級(jí)域名的SOA記錄列表中就可以(就像我們注冊(cè)的maestro.gt)。

自己嘗試一下---快速的實(shí)驗(yàn)室

如果你想在活動(dòng)中看到這種行為，實(shí)際上重現(xiàn)相當(dāng)簡單。我們將使用Windows 7系統(tǒng)作為我們的示例系統(tǒng)，并安裝在虛擬機(jī)里，并運(yùn)行Wireshark監(jiān)控所有我們機(jī)器發(fā)送的DNS流量。

更改你計(jì)算機(jī)的DNS后綴，以匹配危地馬拉活動(dòng)目錄域，并將主DNS后綴設(shè)置為“.gt”頂級(jí)域名下的任何域，如下圖所示：

單擊確定并應(yīng)用此新設(shè)置，將提示你重啟計(jì)算機(jī)。繼續(xù)進(jìn)行，并且當(dāng)Windows重啟時(shí)，請(qǐng)保持Wireshark一直運(yùn)行。你可以看到，在啟動(dòng)過程中，一些動(dòng)態(tài)更新查詢發(fā)生了：

上圖是當(dāng)Windows在啟動(dòng)期間，Wireshark的輸出結(jié)果，具體活動(dòng)如下：

1.嘗試向8.8.8.8DNS解析器查詢mandatory.dnsleaktestnetwork.com.gt的SOA記錄(結(jié)果是一個(gè)NXDOMAIN錯(cuò)誤，因?yàn)樗樵兊呐渲檬?.8.8.8，而該域名在公共互聯(lián)網(wǎng)上是不存在的)。

2.Windows然后會(huì)對(duì)這個(gè)NXDOMAIN響應(yīng)進(jìn)行解析，并從頂級(jí)域名的響應(yīng)中找到一個(gè)無效的SOA主名稱服務(wù)器記錄，這就是maestro.gt。

3.然后，Windows會(huì)訪問maestro.gt(此時(shí)它已經(jīng)是我的服務(wù)器了)，并嘗試發(fā)送一個(gè)DNS更新請(qǐng)求。這會(huì)失敗，因?yàn)槲野逊?wù)器設(shè)置成了拒絕模式。

4.然后，Windows會(huì)再次嘗試整個(gè)過程。

那么，這個(gè)問題有多普遍?

因?yàn)槲５伛R拉國家使用的是“.gt”域名空間，該空間和一些大的頂級(jí)域名相比很小，如.com、.net、.org、.us等等，因此，我們看到只有一小部分DNS請(qǐng)求受到這個(gè)問題的影響。但是，在較大規(guī)模的頂級(jí)域名空間上，使用了頂級(jí)域名的活動(dòng)目錄域、并訪問常用頂級(jí)域名服務(wù)器的流量，有可能很大。

盡管我還沒有明確地找到任何以前的“關(guān)于動(dòng)態(tài)更新SOA劫持”的研究報(bào)告，但幸運(yùn)的是，我們有很多以前的“關(guān)于名稱碰撞”的研究，這很大程度上是由于擔(dān)心發(fā)布的頂級(jí)域名和內(nèi)部網(wǎng)絡(luò)域名相矛盾，而內(nèi)部網(wǎng)絡(luò)遍布全球。想要研究這個(gè)問題有多么普遍，我推薦讀一下《DNS中的名稱碰撞》這篇文章，這是ICANN委員會(huì)的報(bào)告，它對(duì)于這個(gè)問題有一個(gè)很好的概述，能更好的理解名稱碰撞問題、及它在互聯(lián)網(wǎng)中的影響。這篇文章包括了很多真實(shí)世界的數(shù)據(jù)，展現(xiàn)出了名稱碰撞問題有多大，這使得我們有一個(gè)很好的基礎(chǔ)，讓我們推斷出在這個(gè)世界里特殊的SOA動(dòng)態(tài)更新變種分布有多廣泛。

也許，在這個(gè)報(bào)告中，真實(shí)世界中最震撼的數(shù)據(jù)是下面的這張表：

上表是一個(gè)頂級(jí)域名請(qǐng)求數(shù)據(jù)表，按照根域名服務(wù)器的DNS請(qǐng)求數(shù)量排列，單位是千。在原始報(bào)告中包含了前100個(gè)頂級(jí)域名，在這里我們只列出前20個(gè)。這張表揭示了原始數(shù)據(jù)中DNS請(qǐng)求泄漏、并訪問了根域名服務(wù)器的情況，而這個(gè)情況并不意味著到此為止。可以看出，有很多無效的“.local”頂級(jí)域名請(qǐng)求并查詢了根域名服務(wù)器，數(shù)據(jù)排在了第三位，而且比所有“.org”和“.arpa”的請(qǐng)求數(shù)量加起來還多。下面的餅狀圖也能進(jìn)一步揭示問題的規(guī)模：

上圖顯示了一個(gè)驚人的結(jié)果，有45%的請(qǐng)求訪問了根服務(wù)器，這些請(qǐng)求來自于頂級(jí)域名，并且是不存在的、無效的域名，它們有可能是DNS請(qǐng)求泄漏的結(jié)果。也許更令人震驚的是，該數(shù)字可能更高，由于有些內(nèi)部域有一個(gè)有效的頂級(jí)域名，但有一個(gè)無效的二級(jí)域名，例如之前我們提到過的microsoftinternal.com.gt。這些請(qǐng)求對(duì)于根服務(wù)器來講是有效的(因?yàn)?ldquo;.gt”在根區(qū)域是一個(gè)有效的記錄)，但是可能在com.gt頂級(jí)服務(wù)器上會(huì)被視為泄漏/無效的。

該報(bào)告中提到了一個(gè)同樣很有趣的問題，它們觀察到了這些問題的流量，但是卻沒有進(jìn)行更進(jìn)一步的調(diào)查，如下圖：

很多請(qǐng)求采用了上面的格式，通常這是在查詢SRV記錄，盡管有些時(shí)候它們是在請(qǐng)求SOA記錄，但是它們似乎與微軟活動(dòng)目錄服務(wù)有關(guān)。說明它們存在和本文相同的問題。

報(bào)告后面又再次提到：

意思是：“雖然在本研究中絕大多數(shù)觀察到的DNS流量是用名字查找的(例如，傳統(tǒng)的查詢)，但也探測(cè)到了其它一些DNS請(qǐng)求。這些都是動(dòng)態(tài)更新的流量，應(yīng)該永遠(yuǎn)不會(huì)到達(dá)根服務(wù)器。畢竟，修改根服務(wù)器是不會(huì)使用動(dòng)態(tài)更新的，更不用說起源于互聯(lián)網(wǎng)的隨機(jī)IP了。最可能的解釋是它們可能由于活動(dòng)目錄安裝配置錯(cuò)誤，流量走出了內(nèi)部網(wǎng)絡(luò)，并泄漏到了公共互聯(lián)網(wǎng)上。需要注意的是，這項(xiàng)研究并沒有檢查導(dǎo)致這種流量的根本原因。”

該文章最終得到的結(jié)論是：

可惜的是，該報(bào)告對(duì)這個(gè)流量的大小并沒有給出任何陳述，因此和其它名稱碰撞相比，我們沒有好的辦法得到這個(gè)問題的百分比和總量?；陧敿?jí)域名可能返回完全隨意的SOA主名稱服務(wù)器域名這個(gè)事實(shí)(就是.gt和maestro.gt這種情況)，實(shí)際上要在更大的范圍內(nèi)考慮安全問題，而報(bào)告中還沒有認(rèn)識(shí)到這一點(diǎn)。這允許潛在的攻擊者通過注冊(cè)一個(gè)域名，就像我們利用的maestro.gt，進(jìn)入到DNS的中間過程。

鑒于公認(rèn)的這個(gè)有限的信息，我認(rèn)為這個(gè)問題有可能正在積極地發(fā)生，許多頂級(jí)域名服務(wù)器在這個(gè)問題上肯定能看到一些不平常的流量。依賴于每個(gè)頂級(jí)域名SOA記錄的特殊配置，如果它們的SOA主名稱服務(wù)器是可以被注冊(cè)的，就像本案例中一樣，它們就有可能存在易受攻擊的漏洞。

修復(fù)這個(gè)問題&充分的TLD安全考慮

鑒于利用這個(gè)漏洞的門檻是如此之低(基本上僅僅需要買一個(gè)域名)，關(guān)注它所造成的影響有很多原因，我認(rèn)為應(yīng)該要求TLD確保它們響應(yīng)的SOA的主名稱服務(wù)器字段是不能被解析的、或解析到TLD控制的服務(wù)器上，然后拒絕處理動(dòng)態(tài)更新查詢?？紤]到這個(gè)錯(cuò)誤似乎很容易造成，因?yàn)镾OA主名稱服務(wù)器字段不再用于從屬DNS復(fù)制，我不認(rèn)為這種改變是不合理的。悲哀的是，如果你讀過本文前面提到過的生成的TLD健康報(bào)告的結(jié)果，你將會(huì)看到驚人數(shù)量的TLD在功能配置上是有問題的。鑒于這一事實(shí)，修復(fù)這個(gè)安全問題的希望也很低，即使是簡單的事情，就像是“使所有TLD名稱服務(wù)器處理于正確工作狀態(tài)”對(duì)于TLDs來講也是不實(shí)際的。如果我們甚至不能確保TLDs的健康，那么我們又怎么能希望確保所有TLDs能減輕這個(gè)問題呢?

呼叫網(wǎng)絡(luò)管理員去阻止他們自己網(wǎng)絡(luò)中這種類型的問題似乎也無法打贏這場(chǎng)戰(zhàn)爭(zhēng)，況且還有那么多的DNS名稱碰撞。同時(shí)通知并確保網(wǎng)絡(luò)管理員了解這個(gè)風(fēng)險(xiǎn)是很重要的，不過確保100%的網(wǎng)絡(luò)都能正確配置是不可能的。

隱私的噩夢(mèng)

鑒于這個(gè)事實(shí)，這臺(tái)危地馬拉機(jī)器的問題建立在一個(gè)相當(dāng)普通的基礎(chǔ)上，這個(gè)漏洞帶來了一個(gè)相當(dāng)大的隱私問題，很多DNS請(qǐng)求包含了主機(jī)名，這是很隱私的(想像一下NANCY-PC、MYLAPTOP，等等)。由于各種觸發(fā)因素，造成機(jī)器發(fā)送了DNS更新查詢包，意味著用戶的個(gè)人電腦在他每次旅行、改變網(wǎng)絡(luò)、或重啟時(shí)都會(huì)向我的名稱服務(wù)器發(fā)送信息。這導(dǎo)致這個(gè)人只要帶著他的個(gè)人便攜電腦，不管他是去上班、還是回家、去本地咖啡店等等，我們都能很容易的監(jiān)控到他。內(nèi)部IP地址也增加了隱私風(fēng)險(xiǎn)，因?yàn)橛盟梢岳L制出遠(yuǎn)程網(wǎng)絡(luò)的IP地址圖，這些人的電腦在默默地報(bào)告他們的位置，想象一下下面這樣的圖片就有可能是以這些數(shù)據(jù)為基礎(chǔ)：

不用多說，這種隱私問題肯定會(huì)讓人有所觸動(dòng)。

有道德的處理研究數(shù)據(jù)

出于對(duì)當(dāng)事人隱私的尊重，我們?cè)谶@次研究中收集的數(shù)據(jù)將不會(huì)被公開，并會(huì)安全的刪除。此外，所有這些計(jì)算機(jī)的進(jìn)一步流量都會(huì)被路由到127.0.53.53，以確保在我maestro.gt域名剩下的注冊(cè)期限里(大約兩年)，沒有發(fā)送進(jìn)一步的更新查詢。127.0.53.53這個(gè)IP是很特殊的，因?yàn)樗荌CANN專門授權(quán)的用于提醒網(wǎng)絡(luò)管理員存在名稱碰撞問題的IP地址。希望危地馬拉的網(wǎng)絡(luò)管理員/技術(shù)精明的用戶看到DNS流量路由到這個(gè)IP后，他能搜索這個(gè)IP，并立即發(fā)現(xiàn)他們的網(wǎng)絡(luò)/活動(dòng)目錄設(shè)置存在這個(gè)易受攻擊的問題。

此外，我已經(jīng)給“.gt”頂級(jí)域名的DNS管理員發(fā)送了郵件，給她們通知了這個(gè)問題，并要求她修改主名稱服務(wù)器的設(shè)置，使它不再被解析。基于沒有人可以再利用這一點(diǎn)，并且我已經(jīng)將流量引導(dǎo)到了127.0.53.53這個(gè)事實(shí)，同時(shí)我的域名注冊(cè)時(shí)間是兩年，因此，我決定發(fā)布這篇文章，盡管此時(shí)主名稱服務(wù)器仍然是maestro.gt。

總的來說這是一個(gè)非常有趣的實(shí)驗(yàn)，強(qiáng)調(diào)即使是TLD的一個(gè)輕微配置錯(cuò)誤，也可能造成一些有趣的后果。

狀態(tài)更新：在我將這個(gè)問題發(fā)送給危地馬拉的DNS管理員后，他們很快修復(fù)了這個(gè)問題(并很快進(jìn)行了回復(fù))。