înregistrare Logare
Puncte:0
vinz avatar Server

Care sunt riscurile de a avea încredere în secțiunea SUPLIMENTARĂ atunci când acestea se potrivesc cu secțiunea AUTORITATE?

drapel gd
vinz

Dacă luăm următorul exemplu cu dig allcosts.net @g.gtld-servers.net:

;; SECȚIUNEA DE ÎNTREBĂRI:
;allcosts.net. ÎN A

;; SECȚIUNEA AUTORITATE:
allcosts.net. 172800 ÎN NS ns-22.awsdns-02.com.
allcosts.net. 172800 ÎN NS ns-912.awsdns-50.net.
allcosts.net. 172800 ÎN NS ns-1834.awsdns-37.co.uk.
allcosts.net. 172800 ÎN NS ns-1233.awsdns-26.org.

;; SECȚIUNE SUPLIMENTARĂ:
ns-912.awsdns-50.net. 172800 IN A 205.251.195.144

Serverul TLD oferă o secțiune SUPLIMENTARĂ care nu este o înregistrare adeziv (IP-ul ns-912.awsdns-50.net poate fi găsit cu siguranță printr-o interogare DNS separată), dar care sunt riscurile de a avea încredere în ea?

Pentru că, chiar dacă acest răspuns este de fapt un răspuns falsificat (adică atacatorul controlează de fapt ns-912.awsdns-50.net), indiferent în ce avem încredere sau nu în secțiunea SUPLIMENTARE, în ambele cazuri vom obține IP-ul ns-912.awsdns-50.net care aparțin atacatorului.

În ceea ce privește Securitate, ce rost ar avea aici să nu ai încredere în secțiunea SUPLIMENTARE când se potrivește cu secțiunea AUTORITATE?

21
0 + 0
Puncte:2
Patrick Mevzek avatar Server
drapel cn
Patrick Mevzek

În ceea ce privește securitatea, ce rost ar avea aici să nu ai încredere în secțiunea SUPLIMENTARE când se potrivește cu secțiunea AUTORITATE?

Nu există nicio siguranță în ceea ce privește ADIŢIONAL secțiune. În cazul DNSSEC, înregistrările din AUTORITATE și RĂSPUNS secțiunile sunt semnate, dar cele din ADIŢIONAL nu sunt. De aici clientul NU POTI avea încredere în conținutul ADIŢIONAL vine cu adevărat de la serverul de nume autorizat, ar fi putut fi modificat în tranzit.

Deci, chiar dacă credeți că înregistrarea dată „se potrivește” cu AUTORITATE secțiunea, ar fi putut fi complet deturnat de un atacator pe cale.

Majoritatea, dacă nu toți clienții DNS evită utilizarea oricăror date în ADIŢIONAL cu excepția cazului în care nu există absolut nicio altă cale, adică atunci când sunt necesare lipiciuri. Din punct de vedere tehnic, cleiurile sunt necesare numai atunci când serverele de nume sunt în interior, care se află la sau sub numele domeniului. Nu doar sub același TLD, care este doar intern, așa cum vedem aici, ci într-adevăr ca in-bailiwick al numelui de domeniu interogat.

Aici, ns-912.awsdns-50.net. nu este in-bailiwick of allcosts.net. si de aici prezenta sa in ADIŢIONAL este și opțional și mai bine de ignorat.

Dar haideți să revenim în rezolvarea numelui dvs. făcând toți pașii și văzând dacă avem nevoie de această înregistrare în ADIŢIONAL secțiunea și cum ajută.

Pasul 1

allcosts.net este deservit de:

  • ns-22.awsdns-02.com.
  • ns-912.awsdns-50.net.
  • ns-1834.awsdns-37.co.uk.
  • ns-1233.awsdns-26.org.

Pentru a obține orice date, unul dintre aceste 4 servere de nume trebuie contactat, prin urmare numele acestuia trebuie rezolvat. Rețineți, desigur, că clientul are nevoie doar de unul dintre ele și nu trebuie să le verifice pe toate 4. Dar haideți să încercăm să rezolvăm toate acele 4 nume.

Pasul 2a: ns-22.awsdns-02.com.

Domeniu awsdns-02.com. este deservit de:

  • g-ns-3.awsdns-02.com.
  • g-ns-578.awsdns-02.com.
  • g-ns-1154.awsdns-02.com.
  • g-ns-1730.awsdns-02.com.

Observați modul în care aceste 4 nume se află în acest domeniu, astfel încât serverele de nume părinte returnează lipici (A și aaaa înregistrări) pentru toate cele 4, de unde și numele ns-22.awsdns-02.com. poate fi complet rezolvată, iar cererea inițială se poate opri acolo dacă acesta a fost ales serverul de nume. Recordul din primul ADIŢIONAL secțiunea este inutilă aici.

Pasul 2b: ns-912.awsdns-50.net.

Domeniu awsdns-50.net. este deservit de:

  • g-ns-1970.awsdns-50.net.
  • g-ns-499.awsdns-50.net.
  • g-ns-820.awsdns-50.net.
  • g-ns-1394.awsdns-50.net.

Din nou, toate judecățile, deci aceleași concluzii ca pasul anterior. Observați cum ns-912.awsdns-50.net. nu apare nicăieri aici, deci din nou adresa sa IP în primul ADIŢIONAL secțiuni este nu e necesar.

Pasul 2c ns-1834.awsdns-37.co.uk.

Pentru a scurta lucrurile, din nou awsdns-37.co.uk. este deservit de 4 nume de domenii in-bailiwick, aceeași concluzie.

Pasul 2d ns-1233.awsdns-26.org.

La fel.

Concluzie

Indiferent de ce se face pentru a rezolva orice nume sub allcosts.net., adresa IP a ns-912.awsdns-50.net. dat in ADIŢIONAL secțiune NU VOI să fie folosit pentru că nu este necesar. Serverele de nume autorizate pentru awsdns-50.net. va fi interogat pentru a obține numele pentru ns-912.awsdns-50.net. deoarece conținutul de la părinte nu va fi de încredere.

Post-scriptum

Dar dacă inutil, de ce există măcar această înregistrare?

pentru că ns-912.awsdns-50.net. a fost înregistrată la registrul relevant ca obiect gazdă, de către registratorul al awsdns-50.net.. Îl poți vedea în whois:

$ whois -h whois.verisign-grs.com „server de nume ns-912.awsdns-50.net”.
   Nume server: NS-912.AWSDNS-50.NET
   Adresa IP: 205.251.195.144
   Registrator: MarkMonitor Inc.
   Server WHOIS de înregistrare: whois.markmonitor.com
   Adresa URL de înregistrare: http://www.markmonitor.com
>>> Ultima actualizare a bazei de date whois: 2022-01-09T07:02:41Z <<<

Acest obiect gazdă este de fapt inutil (deoarece acest nume de gazdă este NU autoritar pe awsdns-50.net.) dar poate a fost folosit în trecut SAU alte nume de domeniu sub com sau net (ca același registru) folosește acest obiect gazdă, prin urmare nu poate fi șters.

De asemenea, rețineți aici că nu există nicio consecință operațională, deoarece adresele IP se potrivesc:

$ dig NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET. +scurt
205.251.195.144

Lipiciurile devin o problemă atunci când IP-ul se schimbă pe o parte (ex: copil) fără a fi sincronizat pe cealaltă (părinte). Dar, din nou, nici măcar că aici nu ar avea un impact pe nimic ca ADIŢIONAL înregistrarea nu este necesară pentru a rezolva nimic sub allcosts.net..

0 + 0
vinz avatar
drapel gd
vinz
Multumesc pentru raspunsul clar!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.