对“国内大多缓存DNS已可能被秘密劫持”漏洞 的再次猜想
Sct7p | 2014-05-15 05:02
最近在wooyun上看到一个这样的漏洞.
国内大多缓存DNS已可能被秘密劫持
WooYun: 国内大多缓存DNS已可能被秘密劫持(未知黑产技术影响巨大)
本来想用分析,这个词后来觉得,分析这个词必须要有论点论据支撑.我没有论点论据,就把标题改为猜想了.
姑且不讨论此漏洞是否在被黑产利用.只讨论漏洞的产生的可能性.
(我不知道漏洞作者是否真的像他描述的那样经慎重研究分析,当然我也很期待他的漏洞细节,而不是简单的一些举证.举证只能看到一些表面现象例如DNS被投毒.但我希望的是能从漏洞细节中得到以何种方式投毒)
1.对于运营商的DNS投毒.
开始我也以为是这种可能性,原因是
(1) 区域的宽带劫持是存在的.这点我可以证明,因为之前有朋友在某省机房,
他们已经说过在机房动手脚是可行的。当然是针对小范围的灰色性质的网站。
(2)不排除黑客已经黑了地区的dns缓存服务器.
具体这里有一份关于中国电信DNS系统组网规范(2011版)
http://wenku.baidu.com/view/a2db5da681c758f5f61f675f.html
虽然这份文档是11年的,但是我相信中国电信肯定不会大面积的更换这种框架。
读完这份文档之后,你会发现,猜想基本不可靠。因为你可以baidu的到很多域名
确实被劫持了。这意味着搜索引擎爬虫同样是把某些网站解析到黑客定向的ip上面
。如果说真的是黑了电信的dns,那需要黑那些?恐怕不是一些做小黑客能干的事情
能够。并且搜索引擎爬虫有联通的IP。并且中国电信的DNS部署是在复杂,
并不是你拿下一台两台服务器就可以进行大面积劫持的
因此这种可能性几乎可以排除。因为这是大面积的,全国性的,并非区域。
那么除了这个之外还有什么办法可以使得dns被投毒呢?
最后经过我的查阅文档,得到了一个我觉得推理的过去的结果。
(2) GFW作怪
这可能是一种国内独特有的DNS投毒方式。
而且是对于此漏洞:国内解析不正常,国外解析正常的最好解释。
由于客户端在对xx.com进行一次简单dns查询时,GFW会在53端口进行入侵检测,
一经发现与关键词匹配的请求,立即伪装成目标域名的解析服务器,返回给查询这
虚假的结果。因而默认情况下查询ISP的服务器就会获得虚假IP。
那么GFW如果被黑客给控制了呢?
我想到了这里大家都可以得到自己的结果。
题外篇:当然,这只是一个简单的DNS投毒攻击。GFW作为一个中国互联网的基础设
施,如果出了问题。
2. 如果用GFW来做DDOS,我相信没一个网站可以扛得住的。
3. 对一些钱的网站进行挂马。
4. 被一些境外Hacker利用。发布一些敏感的政治话题。
可以说一个本来是用来屏蔽不利消息的IDS被利用起来。后果难以设想。
从这里也可以看出互联网基础设施安全性的重要。
只是猜想,各位要有异议,尽管提出来.只是讨论问题.误进行人身攻击.谢谢
相关讨论:
1#
mramydnei | 2014-05-15 06:05
我猜楼主一晚上没睡觉
2#
0749orz (一头人,牵着一头牛!) | 2014-05-15 07:04
我猜楼上刚起床!
3#
随时回来 (我们做一些很酷的事,去改变世界) | 2014-05-15 08:05
前排插播广告 求解word http://pan.baidu.com/s/1sjIx7h7 求解密 WB感谢
4#
YY-2012 (那痛,谁懂?) | 2014-05-15 09:35
lz已被带走了。
5#
无敌L.t.H (:端异是都乳贫持支Ѿ乳巨是须必神肉) | 2014-05-15 10:32
又搞这种猜想,为何你们都没有想到权威DNS服务器解析记录被改的情况?而是在这里探讨什么国服网……
6#
A11riseforme | 2014-05-15 12:06
一楼是我大哥,楼主你有啥不懂的就问他吧
7#
abaddon (我就认识这几个字母因此取了这名字) | 2014-05-15 12:15
只谈技术 莫谈政治
8#
Sct7p | 2014-05-15 14:48
@无敌L.t.H 请看前提。如果存在权威DNS的解析记录修改。那么为什么国外解析正常?
9#
Sct7p | 2014-05-15 14:48
@mramydnei 昨天晚上断网无奈
10#
Sct7p | 2014-05-15 14:49
@0749orz 你是对的哈
11#
Mujj (Krypt VPS特价www.80host.com) | 2014-05-15 14:58
@Sct7p 识别客户端递归DNS返回结果。
12#
Mujj (Krypt VPS特价www.80host.com) | 2014-05-15 14:58
@Sct7p CDN就是这么识别递归DNS返回节点的。
13#
乌帽子 (和狗咬在一起的,终究还是狗!) | 2014-05-15 15:42
GFW作为一个中国互联网的基础设施...
14#
insight-labs (Root Yourself in Success) | 2014-05-15 15:58
GFW作为一个中国互联网的基础设施...
看到这里我笑了
15#
无敌L.t.H (:端异是都乳贫持支Ѿ乳巨是须必神肉) | 2014-05-15 19:24
@Sct7p 我已经说过了,按区域解析
服务器: cndata.com
Address: 202.97.0.6
非权威应答:
名称: apple.https.tel.ccgslb.com.cn
Addresses: 123.150.49.16
123.150.49.17
Aliases: itunes.apple.com
itunes-cdn.apple.com.akadns.net
china3-lb.apple.com.akadns.net
itunes.apple.ccgslb.com.cn
itunes.apple.tel.ccgslb.com.cn
> server ordns.he.net
默认服务器: ordns.he.net
Addresses: 2001:470:20::2
74.82.42.42
> itunes.apple.com
服务器: ordns.he.net
Addresses: 2001:470:20::2
74.82.42.42
非权威应答:
名称: e673.e9.akamaiedge.net
Address: 23.50.18.217
Aliases: itunes.apple.com
itunes-cdn.apple.com.akadns.net
itunes.apple.com.edgekey.net
默认服务器: public1.114dns.com
Address: 114.114.114.114
> download.windowsupdate.com
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: cc00022.h.telssr.chinacache.net
Addresses: 119.147.138.42
183.60.153.185
Aliases: download.windowsupdate.com
download.windowsupdate.nsatc.net
download.windowsupdate.chinacache.net
服务器: ordns.he.net
Address: 2001:470:20::2
74.82.42.42
非权威应答:
名称: a26.ms.akamai.net
Addresses: 23.32.241.98
125.56.200.168
23.32.241.80
125.56.200.154
23.32.241.72
125.56.200.179
Aliases: download.windowsupdate.com
download.windowsupdate.nsatc.net
main.dl.wu.akadns.net
intl.dl.wu.akadns.net
dl.wu.ms.geo.akadns.net
难道你以为全世界就DNSPod会智能解析?你看看那几个域名的NS服务器变了没有,还是UltraDNS么?