Domain-Name-System

當它們與 AUTHORITY 部分匹配時,信任 ADDITIONAL 部分的風險是什麼?

  • January 28, 2022

如果我們採用以下範例dig allcosts.net @g.gtld-servers.net

;; QUESTION SECTION:
;allcosts.net.          IN  A

;; AUTHORITY SECTION:
allcosts.net.       172800  IN  NS  ns-22.awsdns-02.com.
allcosts.net.       172800  IN  NS  ns-912.awsdns-50.net.
allcosts.net.       172800  IN  NS  ns-1834.awsdns-37.co.uk.
allcosts.net.       172800  IN  NS  ns-1233.awsdns-26.org.

;; ADDITIONAL SECTION:
ns-912.awsdns-50.net.   172800  IN  A   205.251.195.144

TLD 伺服器提供了一個不是粘合記錄的附加部分(其 IPns-912.awsdns-50.net肯定可以通過單獨的 DNS 查詢找到),但信任它的風險是什麼?

因為即使這個響應實際上是一個欺騙響應(意味著攻擊者實際控制ns-912.awsdns-50.net),無論我們是否信任 ADDITIONAL 部分,在這兩種情況下,我們都將獲得ns-912.awsdns-50.net屬於攻擊者的 IP。

安全性方面,當它們與 AUTHORITY 部分匹配時,不信任 ADDITIONAL 部分有什麼意義?

在安全性方面,當它們與 AUTHORITY 部分匹配時,不信任 ADDITIONAL 部分有什麼意義?

該部分根本沒有安全性ADDITIONAL。在 DNSSEC 的情況下,AUTHORITYANSWER部分中的記錄已簽名,但未簽名ADDITIONAL。因此,客戶端不能相信內容ADDITIONAL真的來自權威名稱伺服器,它可能在傳輸過程中被修改。

因此,即使您認為給出的記錄“匹配”該AUTHORITY部分,它也可能完全被路徑上的攻擊者劫持。

大多數(如果不是全部)DNS 客戶端都避免使用任何數據,ADDITIONAL除非絕對沒有其他方法,即需要膠水。從技術上講,僅當域名伺服器位於域名或域名下方的轄區時才需要使用膠水。不只是在同一個 TLD 之下,這只是內部的,正如我們在此處看到的,但實際上是所查詢域名的轄區內。

在這裡,ns-912.awsdns-50.net.它不在管轄範圍內allcosts.net.,因此它的存在ADDITIONAL既是可選的,也最好忽略。

但是,讓我們通過執行所有步驟返回解析您的姓名,並查看我們是否需要在該ADDITIONAL部分中使用此記錄以及它如何提供幫助。

第1步

allcosts.net由以下人員提供服務:

  • ns-22.awsdns-02.com.
  • ns-912.awsdns-50.net.
  • ns-1834.awsdns-37.co.uk.
  • ns-1233.awsdns-26.org.

要獲取任何數據,必須聯繫這 4 個名稱伺服器之一,因此必須解析其名稱。當然請注意,客戶只需要其中一個,不需要檢查所有 4 個。但讓我們嘗試解析所有這 4 個名稱。

步驟 2a:ns-22.awsdns-02.com.

awsdns-02.com.由以下機構提供服務:

  • g-ns-3.awsdns-02.com.
  • g-ns-578.awsdns-02.com.
  • g-ns-1154.awsdns-02.com.
  • g-ns-1730.awsdns-02.com.

請注意這 4 個名稱是如何在該域中的,因此父名稱伺服器為所有 4 個返回粘合(A和記錄),因此可以完全解析名稱,並且如果這是選擇的名稱伺服器,則初始請求可以在那裡停止. 第一部分的記錄在這裡沒有用。AAAA``ns-22.awsdns-02.com.``ADDITIONAL

步驟 2b:ns-912.awsdns-50.net.

awsdns-50.net.由以下機構提供服務:

  • g-ns-1970.awsdns-50.net.
  • g-ns-499.awsdns-50.net.
  • g-ns-820.awsdns-50.net.
  • g-ns-1394.awsdns-50.net.

同樣,所有 bailiwick,因此與上一步的結論相同。注意ns-912.awsdns-50.net.這裡的任何地方都沒有出現,所以它在第一ADDITIONAL部分中的 IP 地址也是不需要的。

步驟 2cns-1834.awsdns-37.co.uk.

簡而言之,同樣awsdns-37.co.uk.是由 4 個轄區域名提供服務,結論相同。

步驟 2dns-1233.awsdns-26.org.

相同的。

結論

無論採取什麼措施來解析 下的任何名稱,都不會使用部分中給出allcosts.net.的 IP 地址,因為它不是必需的。將查詢權威名稱伺服器以獲取其名稱,因為來自父級的內容將不受信任。ns-912.awsdns-50.net.``ADDITIONAL``awsdns-50.net.``ns-912.awsdns-50.net.

後記

但如果沒有用,為什麼這個記錄還存在呢?

因為ns-912.awsdns-50.net.已在相關註冊中心註冊為主機對象,由awsdns-50.net.. 你可以在whois中看到:

$ whois -h whois.verisign-grs.com 'nameserver ns-912.awsdns-50.net.'
  Server Name: NS-912.AWSDNS-50.NET
  IP Address: 205.251.195.144
  Registrar: MarkMonitor Inc.
  Registrar WHOIS Server: whois.markmonitor.com
  Registrar URL: http://www.markmonitor.com
>>> Last update of whois database: 2022-01-09T07:02:41Z <<<

這個主機對象實際上是無用的(因為這個主機名不是權威的awsdns-50.net.),但它可能在過去被使用過,或者其他域名下comnet(作為同一個系統資料庫)使用這個主機對象,因此它不能被刪除。

還要注意這裡沒有操作後果,因為 IP 地址匹配:

$ dig NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET. +short
205.251.195.144

當一側(例如:孩子)的 IP 發生變化而另一側(父母)沒有同步時,膠水就會成為問題。但是,同樣,即使在這裡也不會影響任何事情,因為ADDITIONAL不需要記錄來解決allcosts.net..

引用自:https://serverfault.com/questions/1089391