DNS缓存污染#一类特选

1、NDNS缓存污染文档编号密级版本号1.1日期2009-08-042020年绿色联赛技术版权通知本文档中包含的所有文本说明、文档格式、插图、照片、方法、流程等均为绿色盲技术所有，并受相关产权和版权法的保护。未经green league书面许可，任何个人或机构不得以任何方式复制或引用本文档的任何部分。版本更改历史记录时间版本说明治病救人2009-07-301.0初始版本真经2009-08-041.1应Tt的要求，可以读得更好真经合格声明此模板用于创建green league技术内外的各种正式文档，包括技术手册、投标、白皮书、会议通知、公司系统等文档的使用。相关资料#目录NDNS缓存污染1I. DN

2、S系统简介11.1公用域名解析过程11.2公用DNS部署1二.DNS缓存污染22.1什么是DNS高速缓存污染22.2DNS缓存污染攻击限制32.3Transaction ID32.4源端口42.5NAT源端口随机干燥偏差52.6生日攻击62.7Classic Glue Poison72.8Bailywick Check82.9Kaminski Attack82.10汇总10三.参考资源10相关资料#I. DNS系统简介1.1公用域名解析过程RFC 1034.3.1。DNS服务器必须支持迭代查询模式和(可选)迭代查询模式。但是实际上，几乎所有DNS服务器都支持递归查询模式，而几乎所有DNS客户端

3、都默认使用递归查询模式。就像N访问根服务器、com的权威服务器和的权威服务器一样，Step 2简化了，每次DNS请求、响应的过程称为重复查询。1.2公用DNS部署典型DNS部署下的图(RFC 1035 2.2):Recursive Server维护Central cache以减轻网络和相关服务器的负载(RFC 1034 5.1)。二.DNS缓存污染2.1什么是DNS高速缓存污染在1.2中，Recursive Server维护是以某种形式缓存响应消息的各种RR，然后当Stub Resolver请求自己时，在本地缓存中查找该RR，如果找不到，则向Fore

4、ign Name Server发送请求。在internet上，攻击者可能伪造从捕获名称服务器发送到recursive服务器的响应消息。其中RR是攻击者指定的恶意内容。这些RR由Recursive Server接收和缓存，据说发生了DNS缓存污染。假定是intranet上的DNS服务器，客户机请求解析。此过程通常意味着请求上的A RR解析。攻击者可能会通过缓存污染攻击使“ A ”出现在的缓存中，结果所有使用作

5、为DNS服务器的客户端都将访问www.google将伪造的A RR放置在缓存中是最直接的攻击方法，还可以放置各种RR，如CNAME RR、NS RR、MX RR，这完全取决于攻击者的最终目的。2.2受DNS缓存污染攻击的限制通常是通过伪造DNS响应消息来攻击DNS缓存污染。在DNS协议设计的早期，没有特别考虑对这种类型的攻击的响应，但是一些协议端要求客观上起到了妨碍攻击的作用。分析响应消息时，使用事务ID确定是否与请求消息匹配(RFC 1034 5.3.3)。收到响应消息后，如果需要验证其是否与请求消息匹配，建议您在验证Question Section是否匹配之前验证Transaction I

6、D是否匹配(RFC 1035 7.3)。如果没有与响应消息匹配的请求消息，则不应缓存响应消息。攻击者通常主动向Cache Server提交A RR查询请求，然后伪造从Auth Server到Cache Server的A RR响应消息。此过程要求您在伪造响应消息时指定正确的事务ID。否则，Cache Server会认为响应消息无效，因此不允许这样做。除了DNS协议层Transaction ID的限制外，还存在UDP承载层的限制。Cache Server通常将查询请求发送到Auth Server的53/UDP。假定此请求消息的源端口为0x5121，Auth Server生成的响应消息的目标端口必须

7、为0x5121/UDP。攻击者伪造响应消息时，也必须将目标端口设置为0x5121/UDP。攻击者可以嗅探和拦截Cache Server与Auth Server之间的通信消息，从而知道正确的事务ID和源端口号，但攻击者通常不具备此条件。2.3事务处理IDCache Server接受DNS响应消息时，请确保事务ID匹配。最初，许多DNS实现发送请求消息时，此事务ID将依次增加，使攻击者能够轻松预测与初始TCP ISN中的问题类似的下一个ID值。稍后，当Transaction ID字段开始随机化时，攻击者只能猜测ID值。1995年，Bellowin推测了Transaction ID，首次提出了DNS

8、欺骗的理论。攻击者请求Cache Server检查，从而导致Cache Server向上权威名称服务器发出查询请求，使用的源端口固定为53/UDP，ID为129963。与此同时，攻击者还向缓存服务器发送了大量包含伪A RR(指向)的伪响应消息，响应消息的源端口和目标端口与53/UDP相同。响应消息的ID值必须等于12963，缓存服务器才能接受。攻击者不知道12963的值，只能猜测。发送大量伪造的响应消息最多可以为65536条伪造的响应消息指定0，65535的值，以指定不同的ID值，但始终有一个命中。Transaction ID字段占用16-

9、bits，假定DNS实现使用16-bits，攻击者估计平均会命中32768次。但是，某些DNS实现仅使用14-bits，平均猜测次数减少到8192。2.4源端口支持递归检查的DNS服务器向其他DNS服务器发送请求时使用的原始端口不容易知道。大多数DNS服务器在启动时随机选择一个源端口，以后向外部发送请求时始终使用此源端口。另外，还有一个DNS服务器使用固定源端口53(引用2.3)向外部发送请求。如果此源端口只是在初始时随机确定，但随后没有静态更改，则可以使用攻击者监视下的所有权威名称服务器来知道此源端口。但是，一般递归查询只需执行一次。假设攻击者控制，这是nsfo

10、的Auth服务器，攻击者想知道向外部发送请求时使用的源PORT，因此要求用解析如果此源端口不是静态的，则在更改中，攻击者必须猜测此16-bits。考虑到小于1024的端口可能未在此源端口上使用，平均猜测次数为32256。与2.3节相比，此次攻击者必须同时彻底猜测事务ID、源端口。显然，攻击的难度提高了。某些商业DNS实现(请求消息的源端口范围太小)需要尽可能地扩展源端口值范围。通常允许源端口位于1024，49152中。以前几乎没有DNS服务器的此源端口不是静态的。2.5 NAT源端口随机干燥如果Dns服务器

11、位于NAT之后，则NAT会发痒从DNS服务器发送的请求消息的源端口，DNS服务器很可能自行随机化源端口，但NAT会削弱随机化程度。在图中，缓存服务器随机化了原始端口(54132/UDP)，但是如果DNS请求消息通过NAT设备，则原始端口将是相对静态的1025/UDP。当internet端的攻击者伪造响应消息时，将目标端口指定为1025/UDP，NAT设备将自动转换为54132/UDP。2.6生日攻击如果Dns服务器允许同时查询同一QNAME，则很容易受到生日攻击。生日攻击最简单的解释是，23人中有2人的生日相同的概率接近1/2。如果1.2 * k 0.5，k为365，则上述结果约为23。如果A

12、ttacker能够强制DNS服务器同时请求相同的Question Section(QNAME、QTYPE、QCLASS)，则可能会使用生日攻击原理冲突Transaction ID、源PORT。如果简单地应用上述公式(实际上不能简单地应用)，则k等于65536 x 65536，公式计算结果为78643。即，78643条响应消息同时发送，事务ID、源PORT一起命中的概率接近1/2。同时发送更多响应消息会增加事务ID、源PORT一起命中的概率。CERT #457875更多简介。图中，如果攻击者针对Cache Server并发请求确定相同的qname，则Cache Server将针对Auth Ser

13、ver并发请求确定相同的QNAME，从而确定攻击者伪造大量响应消息以生成事务id、源端口冲突的QNAME。与2.4中简单地猜测事务ID、源PORT不同，这次是从高速缓存服务器获取多个查询请求，只要其中一条伪造的响应消息被高速缓存服务器接受，攻击就完成了。当前，Unbound和PowerDNS可以禁止对同一QNAME的并发查找。2.7 Classic Glue Poison关于DNS欺骗的首次安全公告于1997年出现，记录了以下攻击：W解析请求、响应消息、对正常A RR的响应消息、Additional Section附带两个完全无关的RR，这两个RR随Answer Secti

14、on的A RR一起进入高速缓存服务器的高速缓存。以下DNS客户端请求Cache Server检查时，将生成伪造的:2.8 Bailywick Check为响应1997年的经典Glue Poison，DNS实现被称为“Bailywick Check”。又称“Bailywick Check”，是从Authority，Additional Section接收RR时执行的安全检查。例如，QNAME是，这些RR是* .只有以com等形式接受。例如，如果QNAME为，则仅当这些RR等于*.时才接受。由于QNAME为www.iss.

15、net，Additional Section的RR owner不符合*.要求，因此2.7的攻击消息不能被缓存污染。2.9 Kaminski Attack2008年出现的Kaminski Attack是利用Additional Section进行的Blind DNS Cache Poison攻击。如果攻击者要求Cache Server解析，而首先伪造响应消息以污染缓存，则必须像之前所述的攻击一样，彻底猜测事务ID、源端口，并且可能会有条件地使用生日攻击原理发生冲突。未利用Answer Section的此响应消息利用Authority和Additional Section接受和缓存“Bailywick Check”、“ A ”。如果攻击失败，攻击者将请求Cache Server解析，继续尝试直到攻击成功。过去的DNS缓存污染攻击有问题。Auth服务器上的一般响应消息很可能在攻击者伪造的响应消息之前