主页 / server / 问题 / 1089391
Accepted
vinz
Asked: 2022-01-09 03:41:27 +0800 CST

当它们与 AUTHORITY 部分匹配时,信任 ADDITIONAL 部分的风险是什么?

  • 772

如果我们采用以下示例dig allcosts.net @g.gtld-servers.net

;; QUESTION SECTION:
;allcosts.net.          IN  A

;; AUTHORITY SECTION:
allcosts.net.       172800  IN  NS  ns-22.awsdns-02.com.
allcosts.net.       172800  IN  NS  ns-912.awsdns-50.net.
allcosts.net.       172800  IN  NS  ns-1834.awsdns-37.co.uk.
allcosts.net.       172800  IN  NS  ns-1233.awsdns-26.org.

;; ADDITIONAL SECTION:
ns-912.awsdns-50.net.   172800  IN  A   205.251.195.144

TLD 服务器提供了一个不是粘合记录的附加部分(其 IPns-912.awsdns-50.net肯定可以通过单独的 DNS 查询找到),但信任它的风险是什么?

因为即使这个响应实际上是一个欺骗响应(意味着攻击者实际控制ns-912.awsdns-50.net),无论我们是否信任 ADDITIONAL 部分,在这两种情况下,我们都将获得ns-912.awsdns-50.net属于攻击者的 IP。

安全性方面,当它们与 AUTHORITY 部分匹配时,不信任 ADDITIONAL 部分有什么意义?

domain-name-system

1 个回答

  1. Best Answer

    在安全性方面,当它们与 AUTHORITY 部分匹配时,不信任 ADDITIONAL 部分有什么意义?

    该部分根本没有安全性ADDITIONAL。在 DNSSEC 的情况下,AUTHORITYANSWER部分中的记录已签名,但未签名ADDITIONAL。因此,客户端不能相信内容ADDITIONAL真的来自权威名称服务器,它可能在传输过程中被修改。

    因此,即使您认为给出的记录“匹配”该AUTHORITY部分,它也可能完全被路径上的攻击者劫持。

    大多数(如果不是全部)DNS 客户端都避免使用任何数据,ADDITIONAL除非绝对没有其他方法,即需要胶水。从技术上讲,仅当域名服务器位于域名或域名下方的辖区时才需要使用胶水。不只是在同一个 TLD 之下,这只是内部的,正如我们在此处看到的,但实际上是所查询域名的辖区内。

    在这里,ns-912.awsdns-50.net.它不在管辖范围内allcosts.net.,因此它的存在ADDITIONAL既是可选的,也最好忽略。

    但是,让我们通过执行所有步骤返回解析您的姓名,并查看我们是否需要在该ADDITIONAL部分中使用此记录以及它如何提供帮助。

    步骤1

    allcosts.net由以下人员提供服务:

    • ns-22.awsdns-02.com.
    • ns-912.awsdns-50.net.
    • ns-1834.awsdns-37.co.uk.
    • ns-1233.awsdns-26.org.

    要获取任何数据,必须联系这 4 个名称服务器之一,因此必须解析其名称。当然请注意,客户只需要其中一个,不需要检查所有 4 个。但让我们尝试解析所有这 4 个名称。

    步骤 2a:ns-22.awsdns-02.com.

    awsdns-02.com.由以下机构提供服务:

    • g-ns-3.awsdns-02.com.
    • g-ns-578.awsdns-02.com.
    • g-ns-1154.awsdns-02.com.
    • g-ns-1730.awsdns-02.com.

    请注意这 4 个名称是如何在该域中的,因此父名称服务器为所有 4 个返回粘合(A和记录),因此可以完全解析名称,如果这是选择的名称服务器,则初始请求可以在那里停止. 第一部分的记录在这里没有用。AAAAns-22.awsdns-02.com.ADDITIONAL

    步骤 2b:ns-912.awsdns-50.net.

    awsdns-50.net.由以下机构提供服务:

    • g-ns-1970.awsdns-50.net.
    • g-ns-499.awsdns-50.net.
    • g-ns-820.awsdns-50.net.
    • g-ns-1394.awsdns-50.net.

    同样,所有 bailiwick,因此与上一步的结论相同。注意ns-912.awsdns-50.net.这里的任何地方都没有出现,所以它在第一ADDITIONAL部分中的 IP 地址也是不需要的。

    步骤 2cns-1834.awsdns-37.co.uk.

    简而言之,同样awsdns-37.co.uk.是由 4 个辖区域名提供服务,结论相同。

    步骤 2dns-1233.awsdns-26.org.

    相同的。

    结论

    无论采取什么措施来解析 下的任何名称,都不会使用部分中给出allcosts.net.的 IP 地址,因为它不是必需的。将查询权威名称服务器以获取其名称,因为来自父级的内容将不受信任。ns-912.awsdns-50.net.ADDITIONALawsdns-50.net.ns-912.awsdns-50.net.

    后记

    但如果没有用,为什么这个记录还存在呢?

    因为ns-912.awsdns-50.net.已在相关注册中心注册为主机对象,由awsdns-50.net.. 你可以在whois中看到:

    $ whois -h whois.verisign-grs.com 'nameserver ns-912.awsdns-50.net.'
   Server Name: NS-912.AWSDNS-50.NET
   IP Address: 205.251.195.144
   Registrar: MarkMonitor Inc.
   Registrar WHOIS Server: whois.markmonitor.com
   Registrar URL: http://www.markmonitor.com
>>> Last update of whois database: 2022-01-09T07:02:41Z <<<

    这个主机对象实际上是无用的(因为这个主机名不是权威的awsdns-50.net.),但它可能在过去被使用过,或者其他域名下comnet(作为同一个注册表)使用这个主机对象,因此它不能被删除。

    还要注意这里没有操作后果,因为 IP 地址匹配:

    $ dig NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET. +short
205.251.195.144

    当一侧(例如:孩子)的 IP 发生变化而另一侧(父母)没有同步时,胶水就会成为问题。但是,同样,即使在这里也不会影响任何事情,因为ADDITIONAL不需要记录来解决allcosts.net..

    • 2

相关问题