如何扩大分布式环境中DNS服务攻击面

2017-12-20 10:47:56 服务器 Chaosnet很有趣，因为CH类经常被用于服务区域的“bind.”，它包含了一些关于DNS服务器的有用信息。我想你应该知道’version.bind’的记录，通过该记录你可以确定DNS服务器的版本。

我目前在RCNTEC公司工作，每天都会与分布式环境打交道。每当我不得不使用ISC BIND来实现DNS服务时，我就会问自己——是否只有用于域名的NS服务器同时也被当做该域名的DNS服务器？“yandex.ru”域名的DNS区域是否只有两个名称服务器，同样，“google.com”这个域名是否也只有四个名称服务器呢？

很显然，事实并非这样。我认为很多拥有互联网服务的公司已经通过负载均衡，防火墙或者某种反向代理服务分散了它们的DNS基础设施。

但是，我们该如何解决这个谜题，并得到有关后端DNS服务器的一些信息呢？现在是时候跟随我的思路，深入了解一下DNS。

你可以点击这里阅读更多关于Chaosnet的信息。换句话说，这是另一种处于ISO OSI第三层的网络协议。关于DNS，Chaosnet被认为是类似于IN（互联网）和HS（Hesiod）这样的网络类之一（代码为CH ）。

Chaosnet很有趣，因为CH类经常被用于服务区域的“bind.”，它包含了一些关于DNS服务器的有用信息。我想你应该知道’version.bind’的记录，通过该记录你可以确定DNS服务器的版本。

有很多常用的基于这个记录的DNS指纹技术。

来看看一个例子：

正如你在上图所看到的，我通过我自己的DNS服务器请求了Chaosnet 的TXT记录——’version.bind’，并得到了包含我的DNS服务器版本信息的响应。

我们可以获得DNS服务器版本信息，但是我们仍然无法枚举中继器后面的DNS服务器。另外，很多系统管理员都知道这个“特性”，并且他们也知道如何修复这个问题并隐藏DNS服务器版本。

即使我们的目标系统管理员没有修补DNS域的“bind.”记录，我们也无法枚举DNS ——这只是版本信息，而不是IP或任何类似的东西。

另一个CH TXT记录

TXT记录“hostname.bind”是CH区域“bind”中可用的另一条记录。我们来看看，如果我们从DNS服务器上请求这个记录会发生什么：

不错！我们得到了服务器的主机名。在我所演示的这种情况中，主机名只是内部服务器的名称，但是在分布式环境中会是什么呢？

我的经验表明，为了部署的方便，服务器主机名与他们的外部DNS名称相等的情况非常普遍。那么在这种情况下，获得了主机的内部主机名称，也就获得了该主机的外部DNS名称。我们可以简单地解析一下主机的外部DNS名称来获得服务器的IP地址。

Unhidens脚本

我写了一个小工具 ，通过运行“dig”来确定DNS服务器的版本和主机名，并解析收到的主机名。

让我们来看看unhidens脚本针对俄罗斯域名注册商的域名服务器发起请求后的输出：

如何扩大分布式环境中DNS服务攻击面

从上图中你可以看到，在31.177.85.186后面只有一个DNS服务器。事实上，我们只是通过IP 31.177.85.194和名称“ns9-1.nic.ru”扩大了我们的测试范围。

那么Yandex呢？（译者注：Yandex是俄罗斯及中亚国家使用的最大最多的一个搜索引擎）

我用我的脚本对他们的系统执行了请求:)

如何扩大分布式环境中DNS服务攻击面

哈哈！我们完全列举出了放在公共机器后面的Yandex后端的DNS服务器。我们可以请求主机名并解析出它们的IP地址。

在请求Yandex的DNS服务器所发现的主机都被防火墙所保护，所以我无法直接与这些服务器直接通信。但我试图对其他几家公司执行unhidens脚本后，有时我会看到一些存在漏洞的DNS软件版本的机器，甚至有开放TCP 53端口的机器。

结论

本文中所描述的信息披露并不是一个重要的bug，但是可以被攻击者用来扩大攻击面。

尝试对不同的域名运行unhidens脚本，我相信你会喜欢上这个脚本！

另外，请记住“bind.”域并不仅仅是ISC BIND的功能，我看到很多不同的DNS服务器均受到这种信息泄露的影响。

如果你想在你的DNS服务器上修复此安全问题，我建议你手动处理CH域的“bind.”。

如果你使用了ISC BIND，那么你只需在’named.conf’中添加如下内容即可：

并创建“bind.dns”区域文件：

这不是一种隐藏DNS服务器版本信息和主机名的最简单的方法，但是使用此配置，你可以将记录所有的 “bind.” 请求行为， 这样你可以跟踪所有试图请求有关你的机器的敏感信息的客户端来进行攻击分析和攻击溯源。

请问DNS服务器的防DDOS攻击策略如何解决

如果打的不是53端口，直接拒掉如果是固定源IP攻击，源IP限速如果是随机源IP，看下包特征，模式匹配拒掉大规模分布式DDOS攻击，用白名单准入。 必要前提是攻击之前就有准备，知道向DNS服务器查询源IP哪些是的“历史上一订矗斥匪俪睹筹色船姬直正常，且很重要”的，才准入。 这里面有个白名单长度限制的问题，有损服务

双截棍基础事是什么

双节棍 训练基础曾经在双节棍上下过一点功夫，也有幸认识了叶寒冰，剑舞狂沙等国内的知名玩家，今年夏天去深圳时，很遗憾与李炎才老师缘吝一面，但是当时收集了些资料，希望对大家有所帮助：李小龙二节棍教程初级练习目的：通过训练准确掌握二节棍基本技术。 时间：根据实际情况决定。 内容： 1、重点进行素质(耐力、柔韧、灵敏、协调)特质(速度感觉能力)训练。 2、熟悉、掌握A、握法：单手、双手B、收放棍法：单手、双收放棍C、截拳道警戒桩与移步3、重复练习(练习10-15次为一组，练习2-3组)A、侧击棍B、水平棍C、斜形翻棍D、对角连续击棍E、身体带击棍F、收放棍由警戒桩开始、结束。 要求：注意身体放松、呼吸自然、姿势自然。 原则：循序渐进，由慢到快。 姿势正确ａ身体放松ａ加快动作速度(加快速度时，要特别注意动作准确性、实战性)。 说明：初级练习主要为掌握基本技术，改变练习者的控制能力)用心感受二节棍挥舞时的圆润、流畅及圆形动作等。 易犯错误：直臂，曲体，僵膝及双脚全掌着地等。 B、忽视姿势正确，一味追求动作速度。 C、双脚间距过大或过小。 D、身体紧张导致动作笨拙。 E、握棍方法错误造成跳棍及反弹击打自身，并影响速度及机动灵活性等。 F、恐惧击打自身不敢大胆动作。 G、一味盲目动作，不注意用心感受与体会。 纠正方法：1、认真学习理解二节棍技法，避免急于求成心理与纠正不负责任的懒散态度。 2、勤练准备活动，以提高身体素质，改善自身柔韧灵敏，协调程度。 注意事项：1、练习中要注意发现自身错误，并能及时予以纠正。 2、练习要量力而行。 3、训练前后应进行准备和整理活动。 4、尽量避免练习中的伤害事故发生。 5、做好练习后的营养，休息安排，避免疲劳发生。 6、克服不良心理，爱好，持之以恒地进行练习。 中级练习：目的：通过训练使练习者具备实战能力。 时间: 根据实际情况决定。 内容： 1、纯熟二节棍放棍法(移动中)A、前移 B、侧移C、后移2、重复练习A、连续侧击棍，水平，斜行翻棍，对角身体带击棍。 B、尝试将各种动作连接使用。 C、结合移步做向前后左右方的攻击练习。 D、闭眼练习或在夜晚、暗室练习。 E、以烛火为目标练习。 F、以纸片为目标练习。 G、以悬吊起的棉球为目标练习。 要求：为掌握准确的出棍时机、距离、角度及棍着力部位。 练习要认真注意体会收棍动作，出收棍路线；移动中动作要领：闪避对方攻击同时的动作感受等。 重点领悟：如何在实战中最大限度的发挥二节棍的威力。 说明：中级练习是为提高习者必须具备对二节棍的使用能力，经过此段练习后，练习者必须具备握棍出奇不意动作，突然以二节棍展开强劲攻势的能力。 易犯错误：1、盲目追求高深绝技，忽视基础练习。 2、并未真正认识到实践中的攻击、时机、距离、收放棍路线等的重要性、实用性。 3、对艰苦练习感到厌倦，而停止练习。 4、并未真正用心去体验，感知技术。 5、不注意纠正自身错误，以致技术难以提高。 6、产生骄躁心理，影响练习者进步。 纠正方法：1、经常静坐自省，努力寻找自身缺欠予以改进。 2、在真正掌握技术后，可以创新练习方法，避免练习枯燥乏味。 3、采用多种方法，检测自己实际水平。 4、广泛收集有关资料，提高自身理论知识。 注意事项：1、养成日常良好习惯，戒除恶习 。 2、加强精神修炼。 3、扩大自身知识面，勇于接受，纳用新的东西。 4、加强理论研究与技术掌握程度。 5、保持愉快心情与充沛体能进行训练。 6、日常有练习记录。

169.254.136.228是什么类型的IP地址

IP地址有5类，A类到E类，各用在不同类型的网络中。 地址分类反映了网络的大小以及数据包是单播还是组播的。 A类到C类地址用于单点编址方法，但每一类代表着不同的网络大小。 A类地址（1.0.0.0-126.255.255.255）用于最大型的网络，该网络的节点数可达16,777,216个。 B类地址（128.0.0.0-191.255.255.255）用于中型网络，节点数可达65,536个。 C类地址（192.0.0.0-223.255.255.255）用于256个节点以下的小型网络的单点网络通信。 D类地址并不反映网络的大小，只是用于组播，用来指定所分配的接收组播的节点组，这个节点组由组播订阅成员组成。 D类地址的范围为224.0.0.0-239.255.255.255。 E类（240.0.0.0-255.255.255.254）地址用于试验。 169.254.136.228属于B类按照目前使用的IPv4的规定，对IP地址强行定义了一些保留地址，即：“网络地址”和“广播地址”。 所谓“网络地址”就是指“主机号”全为“0”的IP地址，如：125.0.0.0(A类地址)；而“广播地址”就是指“主机号”全为“255”时的IP地址，如：125.255.255.255(A类地址)。 而子网掩码，则是用来标识两个IP地址是否同属于一个子网。 它也是一组32位长的二进制数值，其每一位上的数值代表不同含义：为“1”则代表该位是网络位；若为“0”则代表该位是主机位。 和IP地址一样，人们同样使用“点式十进制”来表示子网掩码，如：255.255.0.0。 如果两个IP地址分别与同一个子网掩码进行按位“与”计算后得到相同的结果，即表明这两个IP地址处于同一个子网中。 也就是说，使用这两个IP地址的两台计算机就像同一单位中的不同部门，虽然它们的作用、功能、乃至地理位置都可能不尽相同，但是它们都处于同一个网络中。 子网掩码计算方法自从各种类型的网络投入各种应用以来,网络就以不可思议的速度进行大规模的扩张，目前正在使用的IPv4也逐渐暴露出了它的弊端，即：网络号占位太多，而主机号位太少。 目前最常用的一种解决办法是对一个较高类别的IP地址进行细划，划分成多个子网，然后再将不同的子网提供给不同规模大小的用户群使用。 使用这种方法时，为了能有效地提高IP地址的利用率，主要是通过对IP地址中的“主机号”的高位部分取出作为子网号，从通常的“网络号”界限中扩展或压缩子网掩码，用来创建一定数目的某类IP地址的子网。 当然，创建的子网数越多，在每个子网上的可用主机地址的数目也就会相应减少。 要计算某一个IP地址的子网掩码，可以分以下两种情况来分别考虑。 第一种情况：无须划分成子网的IP地址。 一般来说，此时计算该IP地址的子网掩码非常地简单，可按照其定义就可写出。 例如：某个IP地址为12.26.43.0，无须再分割子网，按照定义我们可以知道它是一个A类地址，其子网掩码应该是255.0.0.0；若此IP地址是一个B类地址，则其子网掩码应该为255.255.0.0；如果它是C类地址，则其子网掩码为255.255.255.0。 其它类推。 第二种情况：要划分成子网的IP地址。 在这种情况下，如何方便快捷地对于一个IP地址进行划分，准确地计算每个子网的掩码，方法的选择很重要。 下面我介绍两种比较便捷的方法：当然，在求子网掩码之前必须先清楚要划分的子网数目，以及每个子网内的所需主机数目。 方法一：利用子网数来计算。 1.首先，将子网数目从十进制数转化为二进制数；2.接着，统计由“1”得到的二进制数的位数，设为N；3.最后，先求出此IP地址对应的地址类别的子网掩码。 再将求出的子网掩码的主机地址部分(也就是“主机号”)的前N位全部置1，这样即可得出该IP地址划分子网的子网掩码。 例如：需将B类IP地址167.194.0.0划分成28个子网：1)(28)10=()2；2)此二进制的位数是5，则N=5；3)此IP地址为B类地址，而B类地址的子网掩码是255.255.0.0，且B类地址的主机地址是后2位(即0-255.1-254)。 于是将子网掩码255.255.0.0中的主机地址前5位全部置1，就可得到255.255.248.0，而这组数值就是划分成 28个子网的B类IP地址 167.194.0.0的子网掩码。 方法二：利用主机数来计算。 1．首先，将主机数目从十进制数转化为二进制数；2．接着，如果主机数小于或等于254(注意：应去掉保留的两个IP地址)，则统计由“1”中得到的二进制数的位数，设为N；如果主机数大于254，则 N>8，也就是说主机地址将超过8位；3．最后，使用255.255.255.255将此类IP地址的主机地址位数全部置为1，然后按照“从后向前”的顺序将N位全部置为0，所得到的数值即为所求的子网掩码值。 例如：需将B类IP地址167.194.0.0划分成若干个子网，每个子网内有主机500台：1)(500)10=()2；2)此二进制的位数是9，则N=9；3)将该B类地址的子网掩码255. 255.0.0的主机地址全部置 1，得到255.255.255.255。 然后再从后向前将后9位置0，可得. ..即255.255.254.0。 这组数值就是划分成主机为500台的B类IP地址167.194.0.0的子网掩码。