主页 / unix / 问题 / 427982
Accepted
Rui F Ribeiro
Asked: 2018-03-04 17:00:44 +0800 CST

混合大小写 DNS 请求 - 我的网络中存在恶意软件?

  • 772

我看到一些奇怪的 DNS 查询。他们似乎有来自我网络中机器的随机混合情况。

我有可能有恶意软件吗?

$ sudo tcpdump -n port 53
16:42:57.805038 192.168.5.134.47813 > 192.168.5.2.53: 27738+ A? Www.sApO.PT. (29)
16:42:57.826942 192.168.5.2.53 > 192.168.5.134.47813: 27738 1/0/0 A 213.13.146.142 (45)
16:43:02.813782 192.168.5.2.53 > 192.168.5.134.12193: 17076 1/0/0 A 213.13.146.142 (45)
16:43:06.232232 192.168.5.134.44055 > 192.168.5.2.53: 28471+ A? www.SaPo.pt. (29)
16:43:06.253887 192.168.5.2.53 > 192.168.5.134.44055: 28471 1/0/0 A 213.13.146.142 (45)
16:45:22.135751 192.168.5.134.11862 > 192.168.5.2.53: 48659+ A? wwW.cnn.COm. (29)
16:45:22.190254 192.168.5.2.53 > 192.168.5.134.11862: 48659 2/0/0 CNAME turner-tls.map.fastly.net., (84)
16:45:27.142154 192.168.5.134.34929 > 192.168.5.2.53: 25816+ A? wWw.cnN.com. (29)
16:45:27.168537 192.168.5.2.53 > 192.168.5.134.34929: 25816 2/0/0 CNAME turner-tls.map.fastly.net., (84)
16:45:32.150473 192.168.5.134.29932 > 192.168.5.2.53: 40674+ A? wWw.cnn.cOM. (29)
16:45:32.173422 192.168.5.2.53 > 192.168.5.134.29932: 40674 2/0/0 CNAME turner-tls.map.fastly.net., (84)
malware dns

1 个回答

  1. Best Answer

    归根结底,在调查了这个问题之后,执行混合大小写 DNS 请求的 VM 是正在运行的 OpenBSD 机器rebound,这是 OpenBSD 中使用的 DNS 代理。

    此外,现在看来这是一种常见的做法,rebound并且将这种混合大小写查询作为一种安全措施。UnboundpydigTor

    因此,在这种情况下,查询不是恶意软件的结果。

    混合大小写 DNS 查询的使用

    这些查询似乎是 DNS 服务器支持相对较新的 DNS 安全机制“0x20 位编码”的结果。该方法因使用字母大小写对位值进行编码而得名。如果位 0x20 设置在一个字节中,则字母为小写。如果清除,则字母为大写。

    主机名不区分大小写。不过,案件得以维持。答案将使用与查询相同的混合大小写。

    事实证明,几乎所有 DNS 服务器都遵循这种行为。新的部分是现在一些 DNS 服务器开始将随机值编码到它们发送的每个查询中,然后验证该值是否保留在响应中。这实际上为查询 id 添加了额外的位。

    虽然这显然是一个“黑客”,但它是一个非常有吸引力的。如果您的 DNS 服务器支持此功能,它将自动获得更多的“抗欺骗性”。它连接的 DNS 服务器不需要更改任何内容。与 DNSSEC 不同,这当然是真正的修复,但需要进行大量配置工作,并且必须为每个区域进行配置。

    From calomel - 无绑定 DNS 教程

    什么是 dns-0x20 大写随机化?

    大写随机化也称为 dns-0x20。这是一种实验性的弹性方法,它使用问题主机名中的大小写字母来获得随机性。平均增加大约 7 或 8 位熵。此方法目前必须由 dns 管理员手动打开,因为它可能会导致 0.4% 的域由于权威服务器端的不支持而得不到响应。在我们的第二个示例中,我们启用指令“use-caps-for-id: yes”以使用 dns-0x20 获得更好的安全性。

    这意味着 calomel.org 与 CaLOMeL.Org 相同,CaLOMeL.Org 与 CALOMEL.ORG 相同。当 Unbound 向远程服务器发送查询时,它会以随机大小写字符发送主机名字符串。远程服务器必须像所有字符都是小写一样解析主机名。然后,远程服务器必须使用 Unbound 发送的相同随机大小写字符将查询发送回 Unbound。如果响应中主机名的字符与查询的格式相同,则满足 dns-0x20 检查。

    因此,希望毒化未绑定 DNS 缓存的攻击者必须猜测查询的混合大小写编码和返回 dns 答案的时间,以及 DNS 毒化攻击所需的所有其他字段。dns-0x20 显着增加了攻击的难度。

    相关问题:Chrome:带有随机 DNS 名称的 DNS 请求:恶意软件?

    • 8

相关问题