当 ADDITIONAL 部分与 AUTHORITY 部分匹配时,信任 ADDITIONAL 部分的风险是什么?

tag-icon tag-icon domain-name-system
当 ADDITIONAL 部分与 AUTHORITY 部分匹配时,信任 ADDITIONAL 部分的风险是什么?

如果我们采用以下示例dig allcosts.net @g.gtld-servers.net

;; QUESTION SECTION:
;allcosts.net.          IN  A

;; AUTHORITY SECTION:
allcosts.net.       172800  IN  NS  ns-22.awsdns-02.com.
allcosts.net.       172800  IN  NS  ns-912.awsdns-50.net.
allcosts.net.       172800  IN  NS  ns-1834.awsdns-37.co.uk.
allcosts.net.       172800  IN  NS  ns-1233.awsdns-26.org.

;; ADDITIONAL SECTION:
ns-912.awsdns-50.net.   172800  IN  A   205.251.195.144

TLD 服务器提供了一个不是粘合记录的 ADDITIONAL 部分(肯定可以通过单独的 DNS 查询找到的 IP ns-912.awsdns-50.net),但信任它的风险是什么?

因为即使这个响应实际上是一个欺骗响应(意味着攻击者实际上控制ns-912.awsdns-50.net),无论我们是否信任 ADDITIONAL 部分,在两种情况下我们都会获得ns-912.awsdns-50.net属于攻击者的 IP。

按照安全那么,当 ADDITIONAL 部分与 AUTHORITY 部分匹配时,不信任 ADDITIONAL 部分有什么意义呢?

答案1

从安全性角度来看,当 ADDITIONAL 部分与 AUTHORITY 部分匹配时,不信任 ADDITIONAL 部分有什么意义呢?

部分根本没有安全性。在 DNSSEC 的情况下,和部分ADDITIONAL中的记录已签名,但中的记录未签名。因此客户端AUTHORITYANSWERADDITIONAL不能相信的内容ADDITIONAL确实来自权威名称服务器,它可能在传输过程中被修改。

因此,即使您认为给定的记录“匹配”该AUTHORITY部分,它也可能完全被路径攻击者劫持。

大多数(如果不是全部)DNS客户端都避免使用任何数据,ADDITIONAL除非绝对没有其他办法,即需要胶水时。从技术上讲,只有当名称服务器位于域名或域名以下的管辖范围内时才需要胶水。不仅仅是在同一TLD下,这只是内部的,正如我们在这里看到的,但实际上是在查询的域名的管辖范围内。

这里,ns-912.awsdns-50.net.不在的管辖范围内allcosts.net.,因此它的存在ADDITIONAL是可选的,最好忽略。

但是,让我们通过执行所有步骤重新解析您的名字,并查看我们是否需要该ADDITIONAL部分中的此记录以及它如何提供帮助。

步骤1

allcosts.net服务对象:

  • ns-22.awsdns-02.com.
  • ns-912.awsdns-50.net.
  • ns-1834.awsdns-37.co.uk.
  • ns-1233.awsdns-26.org.

要获取任何数据,必须联系这 4 个名称服务器中的一个,因此必须解析其名称。当然请注意,客户端只需要其中一个,而不需要检查所有 4 个。但让我们尝试解析所有这 4 个名称。

步骤 2a:ns-22.awsdns-02.com.

域名awsdns-02.com.由以下机构提供服务:

  • g-ns-3.awsdns-02.com.
  • g-ns-578.awsdns-02.com.
  • g-ns-1154.awsdns-02.com.
  • g-ns-1730.awsdns-02.com.

请注意,这 4 个名称属于此域的管辖范围,因此父名称服务器会为所有 4 个名称返回胶水(AAAAA记录),因此可以完全解析名称ns-22.awsdns-02.com.,并且如果这是所选的名称服务器,则初始请求可以停止。第一部分中的记录ADDITIONAL在这里毫无用处。

步骤 2b:ns-912.awsdns-50.net.

域名awsdns-50.net.由以下机构提供服务:

  • g-ns-1970.awsdns-50.net.
  • g-ns-499.awsdns-50.net.
  • g-ns-820.awsdns-50.net.
  • g-ns-1394.awsdns-50.net.

同样,所有管辖范围,因此结论与上一步相同。请注意,ns-912.awsdns-50.net.此处没有出现,因此其第一ADDITIONAL部分中的 IP 地址再次为不需要

步骤 2cns-1834.awsdns-37.co.uk.

长话短说,同样awsdns-37.co.uk.由 4 个辖区内域名提供服务,结论相同。

步骤 2dns-1233.awsdns-26.org.

相同的。

结论

无论如何解析任何名称,第节中给出的allcosts.net.IP 地址ns-912.awsdns-50.net.ADDITIONAL将不会因为不需要,所以不使用。awsdns-50.net.将查询的权威名称服务器以获取的名称,ns-912.awsdns-50.net.因为来自父级的内容不受信任。

后记

但如果没用,为什么这个记录还存在呢?

因为ns-912.awsdns-50.net.已被注册机构在相关注册机构注册为主机对象awsdns-50.net.。您可以在 whois 中查看它:

$ whois -h whois.verisign-grs.com 'nameserver ns-912.awsdns-50.net.'
   Server Name: NS-912.AWSDNS-50.NET
   IP Address: 205.251.195.144
   Registrar: MarkMonitor Inc.
   Registrar WHOIS Server: whois.markmonitor.com
   Registrar URL: http://www.markmonitor.com
>>> Last update of whois database: 2022-01-09T07:02:41Z <<<

这个主机对象实际上是无用的(因为这个主机名是不是在 上具有权威性awsdns-50.net.),但可能过去曾被使用过或者 之下的其他域名或comnet作为同一注册表)使用该主机对象,因此无法删除。

还请注意,由于 IP 地址匹配,因此不存在任何操作后果:

$ dig NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET. +short
205.251.195.144

当 IP 在一侧(例如:子节点)发生变化而另一侧(父节点)未同步时,粘合就会成为问题。但是,同样,即使这样也不会影响任何事情,因为记录ADDITIONAL不需要解决 下的任何内容allcosts.net.

相关内容