DNS缓存污染11完整版.docx

? DNS缓存污染

■文档编号

■密级

■版本编号

1.1

■日期

2021-08-04

?DATE\@yyyy2022绿盟科技

■版权声明

本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2021-07-30

初始版本

陈庆

2021-08-04

应tt要求改动，更可读一些

陈庆

■适用性声明

本模板用于撰写绿盟科技内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。

目录

TOC\o1-3\h\z\u? DNS缓存污染 1

一. DNS体系简介 1

常见域名解析过程 1

常见DNS布署 1

二. DNS缓存污染 2

什么是DNS缓存污染 2

DNS缓存污染攻击所受限制 3

TransactionID 3

源端口 4

NAT对源端口随机化的干挠 5

生日攻击 6

ClassicGluePoison 7

BailywickCheck 8

KaminskiAttack 8

小结 10

三. 参考资源 10

DNS体系简介

常见域名解析过程

参看[RFC10344.3.1]，DNSServer必须支持迭代查询模式，可选支持递归查询模式。但在现实世界中几乎所有的DNSServer都支持递归查询模式，同时几乎所有的DNSClient都默认使用递归查询模式。

图中的Step2被简化了，实际情形是ns1.sa依次访问根效劳器、com的权威效劳器、microsoft的权威效劳器，每次都有DNS请求、响应发生，这个过程就是所谓迭代查询。

常见DNS布署

常见DNS布署如下列图([RFC10352.2]):

RecursiveServer维护Centralcache，以此降低网络与相关效劳器的负载([RFC10345.1])。

DNS缓存污染

什么是DNS缓存污染

在1.2中提到RecursiveServer维护Centralcache，就是将来自响应报文的各种RR以某种形式缓存起来，下次遇上StubResolver向自己发出请求时，先在本地缓存里寻找相应的RR，没有找到的情况下才向ForeignNameServer发出请求。

Internet上攻击者有方法伪造一个报文，使之看起来像是从ForeignNameServer发往RecursiveServer的响应报文，其中包含的RR是攻击者指定的恶意内容，这样的RR被RecursiveServer承受并缓存，我们称之发生了DNS缓存污染。

假设192.168.1.1是内网的DNSServer，客户机F:\vip合作\15\:\，这个过程一般意味着请求解析的ARR。攻击者可以通过缓存污染攻击的缓存中出现A10.17.2.1，结果所有使用192.168.1.1做DNSServer的客户机访问时实际访问的是10.17.2.1。

在缓存中置入伪造的ARR是最直接的攻击方式，还可以置入CNAMERR、NSRR、MXRR等各种RR，这完全取决于攻击者的最终目的。

DNS缓存污染攻击所受限制

一般都是通过伪造DNS响应报文进展DNS缓存污染攻击。在设计DNS协议之初，并未专门考虑对抗这种类型的攻击，但一些协议方面的要求客观上起到了阻碍攻击的效果。

分析响应报文时靠TransactionID判断是否与请求报文匹配([RFC10345.3.3])。

收取响应报文后需要检查其是否与请求报文相匹配，建议先检查TransactionID是否匹配，再检查QuestionSection是否匹配([RFC10357.3])。

如果没有请求报文与响应报文相匹配，响应报文不应被缓存。

攻击者一般主动向CacheServer提交ARR查询请求，然后伪造AuthServer到CacheServer的ARR响应报文。这个过程要求伪造响应报文时必须指定正确的TransactionID，否那么CacheServer认为响应报文无效，不予承受。

除去DNS协议层TransactionID的限制外，还有一个UDP承载层的限制。CacheServer一般向AuthServer的53/UDP发送查询请求，假设这个请求报文的源端