通過域名注冊(cè)控制目標(biāo)所有io后綴的域名

時(shí)間：2023-02-10 08:39:01 | 來源：建站知識(shí)

時(shí)間：2023-02-10 08:39:01 來源：建站知識(shí)

在之前我寫文章介紹了通過不同級(jí)別的DNS欺騙控制后綴為na,co.ao以及it.ao的域名，其中我們測(cè)試了頂級(jí)域名(TLD)的威脅模型，并且測(cè)試了攻擊者實(shí)現(xiàn)這一攻擊的方法。最簡單的方法之一就是注冊(cè)一個(gè)TLD權(quán)威名稱服務(wù)器。攻擊原理是TLD可以具有管理任意域名的名稱服務(wù)器，可能因?yàn)槟承┰颍热缗渲贸霈F(xiàn)錯(cuò)誤，或者域名過期，導(dǎo)致有人可以注冊(cè)名稱服務(wù)器的域名，并且達(dá)到對(duì)整個(gè)TLD區(qū)域的控制。

利用“域名后綴”的漏洞劫持國家頂級(jí)域名（一）

利用“域名后綴”的漏洞劫持國家頂級(jí)域名（二）

IO異常

周五晚上，我在使用自己寫的腳本收集各種頂級(jí)域名的DNS代理情況時(shí)，發(fā)現(xiàn)后綴名為io的頂級(jí)域名有些不同：

這個(gè)腳本中有一個(gè)功能是你可以傳遞一個(gè)Gandi API密鑰，然后它會(huì)自動(dòng)檢測(cè)在代理鏈中的名稱服務(wù)器是否有可以被注冊(cè)的域名。在上圖中可以看到Gandi’s API返回了多個(gè)域名，不過這并不代表這些域名是可以進(jìn)行購買的。因?yàn)橹坝龅竭^這種情況，域名服務(wù)商顯示此域名可用，不過并不可以進(jìn)行購買，他會(huì)提示此域名處于保留狀態(tài)。于是在它返回域名列表之后，以防萬一，我對(duì)域名進(jìn)行了訪問，并且在http://NIC.IO中檢測(cè)返回結(jié)果是否正確。在快速檢測(cè)之后我驚訝的發(fā)現(xiàn)http://ns-a1.io是可以作為名稱服務(wù)器進(jìn)行注冊(cè)的，注冊(cè)費(fèi)用是90美元，于是我對(duì)它進(jìn)行購買，看看是否會(huì)成功，過了一會(huì)，我受到了一封郵件，顯示域名購買服務(wù)正在進(jìn)行：

不知道為什么我收到了域名為http://101domain.com的確認(rèn)郵件，不過很顯然io域名的注冊(cè)甚至整個(gè)注冊(cè)機(jī)制都是這個(gè)公司進(jìn)行管理的。由于我購買的時(shí)候已經(jīng)凌晨，下單之后就直接睡覺了，直到下一個(gè)周三下午我正準(zhǔn)備去上班，一封郵件讓我想起來我還在注冊(cè)這個(gè)域名：




我發(fā)現(xiàn)已經(jīng)注冊(cè)成功，立刻檢測(cè)了一下我是不是已經(jīng)控制了io后綴的名稱服務(wù)器中的一個(gè)，執(zhí)行了dig命令，并且已經(jīng)為http://ns-a1.io列出了我測(cè)試的DNS名稱服務(wù)器：

bash-3.2$ dig NS ns-a1.io; <<>> DiG 9.8.3-P1 <<>> NS ns-a1.io;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8052;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0;; QUESTION SECTION:;ns-a1.io. IN NS;; ANSWER SECTION:ns-a1.io. 86399 IN NS ns2.networkobservatory.com.ns-a1.io. 86399 IN NS ns1.networkobservatory.com.;; Query time: 4 msec;; SERVER: 2604:5500:16:32f9:6238:e0ff:feb2:e7f8#53(2604:5500:16:32f9:6238:e0ff:feb2:e7f8);; WHEN: Wed Jul 5 08:46:44 2017;; MSG SIZE rcvd: 84bash-3.2$我查詢了一個(gè)位于底層的DNS服務(wù)器，同樣這個(gè)域名被列為io頂級(jí)域名的權(quán)威名稱服務(wù)器，這就足夠可以確定我們的猜想是正確的：

bash-3.2$ dig NS io. @k.root-servers.net.; <<>> DiG 9.8.3-P1 <<>> NS io. @k.root-servers.net.;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19611;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 7, ADDITIONAL: 12;; WARNING: recursion requested but not available;; QUESTION SECTION:;io. IN NS;; AUTHORITY SECTION:io. 172800 IN NS ns-a1.io.io. 172800 IN NS ns-a2.io.io. 172800 IN NS ns-a3.io.io. 172800 IN NS ns-a4.io.io. 172800 IN NS a0.nic.io.io. 172800 IN NS b0.nic.io.io. 172800 IN NS c0.nic.io.;; ADDITIONAL SECTION:ns-a1.io. 172800 IN AAAA 2001:678:4::1ns-a2.io. 172800 IN AAAA 2001:678:5::1a0.nic.io. 172800 IN AAAA 2a01:8840:9e::17b0.nic.io. 172800 IN AAAA 2a01:8840:9f::17c0.nic.io. 172800 IN AAAA 2a01:8840:a0::17ns-a1.io. 172800 IN A 194.0.1.1ns-a2.io. 172800 IN A 194.0.2.1ns-a3.io. 172800 IN A 74.116.178.1ns-a4.io. 172800 IN A 74.116.179.1a0.nic.io. 172800 IN A 65.22.160.17b0.nic.io. 172800 IN A 65.22.161.17c0.nic.io. 172800 IN A 65.22.162.17;; Query time: 70 msec;; SERVER: 2001:7fd::1#53(2001:7fd::1);; WHEN: Wed Jul 5 08:46:14 2017;; MSG SIZE rcvd: 407太棒了，現(xiàn)在我通過ssh連接上去在這個(gè)域名下的測(cè)試dns服務(wù)器，直接關(guān)掉了正在運(yùn)行的BIND服務(wù)。如果我現(xiàn)在開始接受DNS流量的話，我當(dāng)然不想讓合法訪問io域名的人察覺已經(jīng)被攻擊。關(guān)閉bind服務(wù)不再接收53端口的查詢，并且使DNS查詢會(huì)自動(dòng)跳轉(zhuǎn)到其他名稱服務(wù)器上，所以并不會(huì)很大程度上干擾流量。為了看看我是否會(huì)接收到流量，我將所有DNS流量全部寫入到一個(gè)文件當(dāng)中，以便于查看我獲得到多少條查詢。我利用互聯(lián)網(wǎng)上的數(shù)百個(gè)隨機(jī)ip進(jìn)行查詢，結(jié)果看起來這個(gè)域名確實(shí)為整個(gè)ioTLD提供流量，可能這只是一開始，因?yàn)楹芏郉NS客戶端都可能存在緩存，如果緩存更新之后，可能攻擊就不會(huì)起作用.

報(bào)告TLD中的安全問題

慢慢的服務(wù)器不再接受任何dns查詢，我認(rèn)為應(yīng)該盡可能快的修復(fù)好這一缺陷。我主要的擔(dān)心是目前還存在有很多名稱服務(wù)器是可以被注冊(cè)的，并且這種攻擊任何人只要有錢和一定的基礎(chǔ)就可以實(shí)現(xiàn)。我查找了io后綴域名的TLD的聯(lián)系人：



然后我寫了一個(gè)問題的總結(jié)，并通過電子郵件發(fā)送給了兩個(gè)聯(lián)系人，并傳達(dá)了修復(fù)這個(gè)問題的緊迫性。我表示我會(huì)對(duì)其他TLD域名中可以注冊(cè)的名稱服務(wù)器進(jìn)行關(guān)注，并表明如果我在幾個(gè)小時(shí)內(nèi)沒有收到回復(fù)，我將繼續(xù)注冊(cè)并保護(hù)TLD。發(fā)送電子郵件后，我立即收到一條回復(fù)郵件，adminstrator@nic.io郵件地址竟然不存在：



我相信這個(gè)域名的服務(wù)商遲早會(huì)看到這篇文章的，我接下來將所有的能夠購買的域名全部買了下來，防止其他人劫持TLD。就像第一個(gè)域名一樣，我設(shè)置了我的DNS服務(wù)器，不會(huì)影響入站通信。

這樣至少不會(huì)被其他攻擊者利用，我就可以安心的使用我的服務(wù)。


接下來幾天里，我撥打了NCIO提供的電話號(hào)碼，要求他們提供負(fù)責(zé)公司安全人員的電子郵件地址，以便我聯(lián)系他們公司的安全團(tuán)隊(duì)。服務(wù)人員將abuse@101domain.com告訴我說這是問題的負(fù)責(zé)人，雖然我覺得不太可能能夠解決問題，但是我還是將問題總結(jié)發(fā)送給了這個(gè)地址。并且希望通過這個(gè)郵件告知安全人員。在達(dá)成一定的共識(shí)之后，我就開始等待回復(fù)。

通過撤銷購買域名進(jìn)行修復(fù)

第二天中午，我收到了101Domains的通知，指出我的域名被停用，我的提出問題郵件已被回答，我的所有域名都被注冊(cè)機(jī)構(gòu)撤銷：

震驚！abuse它竟然是問題反饋郵箱！在我登錄到101Domain之后，我發(fā)現(xiàn)了101domain法律部門發(fā)來的消息：




很好，在我通知之后，很快時(shí)間就得到了響應(yīng)，并且在我嘗試重新注冊(cè)這些域名時(shí)，沒有成功，于是我確定已經(jīng)把漏洞修補(bǔ)了。

漏洞影響

因?yàn)槲覀円呀?jīng)能夠接管7個(gè)權(quán)威名稱服務(wù)器中的4個(gè)，所以完全有能力對(duì)所有注冊(cè)是io域名進(jìn)行DNS投毒攻擊。不僅如此，我們已經(jīng)掌握了多數(shù)名稱服務(wù)器，所以客戶端可能選擇到被劫持的名稱服務(wù)器，甚至在使用長TTL響應(yīng)之前，進(jìn)一步提高我們攻擊成功的可能性。

一種防止被攻擊的方法是io TLD啟用DNSSEC。啟用之后，這種攻擊不會(huì)對(duì)自己的服務(wù)奏效。話雖如此，不過很多場合都不知吃DNSSEC，除非專門設(shè)置一個(gè)DNSSEC解析器。

TLD安全方面防護(hù)

我已經(jīng)寫了一些關(guān)于如何從頂級(jí)域名（TLD）角度來解決這些問題的一些問題。在未來，我希望發(fā)布一個(gè)更廣泛的指南，了解TLD和域名擴(kuò)展運(yùn)營商如何更好地監(jiān)控并防止發(fā)生這樣的問題。

文章翻譯自The .io Error - Taking Control of All .io Domains With a Targeted Registration，如若轉(zhuǎn)載，請(qǐng)注明原文地址： 通過域名注冊(cè)控制目標(biāo)所有io后綴的域名 更多內(nèi)容請(qǐng)關(guān)注“嘶吼專業(yè)版”——Pro4hou