nn4*_*n4l 6 domain-name-system bind
我已经打开了登录命名。大约 2% 的请求包含大写和小写域的奇怪组合,例如
Jan 7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address)
Jan 7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address)
Jan 7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address)
即使来自同一客户端的请求,大写/小写混合也会发生变化,某些请求仅相隔几秒钟。大多数请求似乎来自本地(德国)DSL 提供商。
有人可以解释这里发生了什么吗?我不知道为什么有人会随机化域名大小写,或者攻击者想利用哪个安全问题。
他们/他们的客户可能正在使用使用 0x20 位编码的 DNS 实现(这有助于防止 DNS 伪造)。
这基本上为 DNS 请求增加了更多的熵,攻击者现在必须在正确的情况下猜测查询 ID、源端口和查询名称才能成功伪造响应。
见http://tools.ietf.org/html/draft-vixie-dnsext-dns0x20-00
| 归档时间: |
|
| 查看次数: |
711 次 |
| 最近记录: |