dns投毒是指攻击者伪造权威DNS的回包,向递归DNS发送查询应答包.因为UDP本身是无状态的.递归dns在发送请求时会随机产生1个ID做标识,当自己发送出去请求包后,如果伪造满足下列条件一个UDP包就可以让递归DNS缓存到自己设置的一个记录:
1. 目标IP/端口为递归dns发请求时使用的源IP/端口一致
2. 报文里的TXID一致
3. 查询的记录一致
为了尽量减少缓存投毒可以使用的方案:
1. 递归出去的IP和自己的服务IP分开,递归使用一个网段出去,并且把递归源端口范围设置的尽量大.
2. 校验权威DNS的TTL(指的是IP包里的TTL,到自己需要经过多少跳路由)
3. 递归DNS发请求的时候把查询的记录大小写随机,校验response报文里是否和请求的一致.
-
近期文章
近期评论
- pm发表在《bind 9.11 ECS基本测试》
- liyong发表在《bind 9.11 ECS基本测试》
- liyong发表在《全球BGP Looking Glass》
- pm发表在《DNS解析时间与访问量 TTL的关系》
- 龙发表在《DNS解析时间与访问量 TTL的关系》
文章归档
- 2020年六月
- 2019年十月
- 2019年九月
- 2019年四月
- 2018年十一月
- 2018年八月
- 2018年七月
- 2018年六月
- 2018年二月
- 2018年一月
- 2017年十二月
- 2017年十月
- 2017年五月
- 2017年三月
- 2017年二月
- 2017年一月
- 2016年十二月
- 2016年十一月
- 2016年八月
- 2016年七月
- 2016年五月
- 2016年三月
- 2016年二月
- 2016年一月
- 2015年十二月
- 2015年十一月
- 2015年八月
- 2015年五月
- 2015年四月
- 2015年三月
- 2015年一月
- 2014年十二月
- 2014年十月
- 2014年六月
- 2014年五月
- 2014年四月
- 2014年三月
- 2014年二月
- 2014年一月
- 2013年十二月
- 2013年十一月
- 2013年十月
- 2013年九月
- 2013年八月
- 2013年七月
- 2013年六月
- 2013年五月
- 2013年四月
- 2013年三月
- 2013年二月
- 2013年一月
- 2012年十二月
- 2012年十一月
- 2012年十月
- 2012年九月
- 2012年八月
- 2012年七月
- 2012年六月
- 2012年五月
分类目录
功能
blog
友情链接
有用的网站