针对 mAiL.myDOmAIn.De 等奇数域名的 DNS 请求

针对 mAiL.myDOmAIn.De 等奇数域名的 DNS 请求

我已开启登录命名。大约 2% 的请求包含大小写域名的奇怪组合,例如

Jan  7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address)
Jan  7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address)
Jan  7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address)

即使来自同一客户端,大小写组合也会发生变化,有些请求仅相隔几秒钟。大多数请求似乎来自本地(德国)DSL 提供商。

有人能解释一下这是怎么回事吗?我不知道为什么有人会随机化域名大小写,也不知道攻击者想利用哪个安全问题。

答案1

他们/他们的客户可能正在使用采用 0x20 位编码的 DNS 实现(这有助于防止 DNS 伪造)。
这基本上会给 DNS 请求增加更多熵,攻击者现在必须猜测查询 ID、源端口查询名称以正确的大小写来成功伪造响应。

https://datatracker.ietf.org/doc/html/draft-vixie-dnsext-dns0x20-00

相关内容