我已开启登录命名。大约 2% 的请求包含大小写域名的奇怪组合,例如
Jan 7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address)
Jan 7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address)
Jan 7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address)
即使来自同一客户端,大小写组合也会发生变化,有些请求仅相隔几秒钟。大多数请求似乎来自本地(德国)DSL 提供商。
有人能解释一下这是怎么回事吗?我不知道为什么有人会随机化域名大小写,也不知道攻击者想利用哪个安全问题。
答案1
他们/他们的客户可能正在使用采用 0x20 位编码的 DNS 实现(这有助于防止 DNS 伪造)。
这基本上会给 DNS 请求增加更多熵,攻击者现在必须猜测查询 ID、源端口和查询名称以正确的大小写来成功伪造响应。
看https://datatracker.ietf.org/doc/html/draft-vixie-dnsext-dns0x20-00