dns投毒是指攻击者伪造权威DNS的回包,向递归DNS发送查询应答包.因为UDP本身是无状态的.递归dns在发送请求时会随机产生1个ID做标识,当自己发送出去请求包后,如果伪造满足下列条件一个UDP包就可以让递归DNS缓存到自己设置的一个记录:
1. 目标IP/端口为递归dns发请求时使用的源IP/端口一致
2. 报文里的TXID一致
3. 查询的记录一致
为了尽量减少缓存投毒可以使用的方案:
1. 递归出去的IP和自己的服务IP分开,递归使用一个网段出去,并且把递归源端口范围设置的尽量大.
2. 校验权威DNS的TTL(指的是IP包里的TTL,到自己需要经过多少跳路由)
3. 递归DNS发请求的时候把查询的记录大小写随机,校验response报文里是否和请求的一致.
-
近期文章
近期评论
- pm发表在《bind 9.11 ECS基本测试》
- liyong发表在《bind 9.11 ECS基本测试》
- liyong发表在《全球BGP Looking Glass》
- pm发表在《DNS解析时间与访问量 TTL的关系》
- 龙发表在《DNS解析时间与访问量 TTL的关系》
归档
- 2023年4月
- 2020年6月
- 2019年10月
- 2019年9月
- 2019年4月
- 2018年11月
- 2018年8月
- 2018年7月
- 2018年6月
- 2018年2月
- 2018年1月
- 2017年12月
- 2017年10月
- 2017年5月
- 2017年3月
- 2017年2月
- 2017年1月
- 2016年12月
- 2016年11月
- 2016年8月
- 2016年7月
- 2016年5月
- 2016年3月
- 2016年2月
- 2016年1月
- 2015年12月
- 2015年11月
- 2015年8月
- 2015年5月
- 2015年4月
- 2015年3月
- 2015年1月
- 2014年12月
- 2014年10月
- 2014年6月
- 2014年5月
- 2014年4月
- 2014年3月
- 2014年2月
- 2014年1月
- 2013年12月
- 2013年11月
- 2013年10月
- 2013年9月
- 2013年8月
- 2013年7月
- 2013年6月
- 2013年5月
- 2013年4月
- 2013年3月
- 2013年2月
- 2013年1月
- 2012年12月
- 2012年11月
- 2012年10月
- 2012年9月
- 2012年8月
- 2012年7月
- 2012年6月
- 2012年5月
分类
其他操作
blog
友情链接
有用的网站