The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.07.2017 12:15  Техника атаки, позволившая получить контроль над всеми доменами в зоне .io

Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал оригинальный метод атаки на всю систему доменов первого уровня, который позволил получить полный контроль над всеми доменами в зоне ".io". Исследователю удалось получить контроль над 4 из 7 первичных DNS-серверов зоны ".io", пользуясь тем, что DNS-серверы, отвечающие за обслуживание домена первого уровня, имеют имена в той же зоне и рассматриваются некоторыми регистраторами на общих основаниях. Атака сводится к поиску просроченных в базе регистратора имён первичных DNS-серверов и регистрации домена с тем же именем, после чего атакующий получает контроль над первичным DNS-сервером зоны первого уровня.

Для автоматизации атаки написан инструментарий, который осуществляет поиск и перебор имён DNS-серверов, оценку задействования сервера в цепочке обслуживания доменной зоны и проверку доступности домена для регистрации через API регистратора. Анализ зоны .io показал, что несколько доменов серверов DNS для данной зоны оказались доступны для регистрации при проверке через API регистратора Gandi. Часто подобные домены включаются в список зарезервированных имён и регистрация блокируется на одной из последних стадий, но в случае имени "ns-a1.io" этого не было сделано, и домен был доступен для свободной продажи на общих основаниях по цене 96 долларов.

Исследователь не удержался и купил этот домен через сервис nic.io. Вскоре ему пришло уведомление об активации домена, а запуск утилиты dig показал, что он действительно получил контроль над одним из первичных DNS-серверов зоны .io и в качестве DNS-серверов для него теперь выставлены хосты ns1/ns2.networkobservatory.com, заданные в настройках исследователем, а другие корневые серверы содержат данный хост в списке первичных DNS-серверов:



   $ dig NS ns-a1.io

   ;; QUESTION SECTION:
   ;ns-a1.io.          IN  NS

   ;; ANSWER SECTION:
   ns-a1.io.       86399   IN  NS  ns2.networkobservatory.com.
   ns-a1.io.       86399   IN  NS  ns1.networkobservatory.com.


   $ dig NS io. @k.root-servers.net.

   ;; QUESTION SECTION:
   ;io.                IN  NS

   ;; AUTHORITY SECTION:
   io.         172800  IN  NS  ns-a1.io.
   io.         172800  IN  NS  ns-a2.io.
   io.         172800  IN  NS  ns-a3.io.
   io.         172800  IN  NS  ns-a4.io.
   io.         172800  IN  NS  a0.nic.io.
   io.         172800  IN  NS  b0.nic.io.
   io.         172800  IN  NS  c0.nic.io.

   ;; ADDITIONAL SECTION:
   ns-a1.io.       172800  IN  A   194.0.1.1
   ns-a2.io.       172800  IN  A   194.0.2.1
   ns-a3.io.       172800  IN  A   74.116.178.1
   ns-a4.io.       172800  IN  A   74.116.179.1
   a0.nic.io.      172800  IN  A   65.22.160.17
   b0.nic.io.      172800  IN  A   65.22.161.17
   c0.nic.io.      172800  IN  A   65.22.162.17

Кроме того, анализ локального трафика через tcpdump показал, что на систему исследователя обрушилась волна запросов, адресованных первичному серверу, число которых было относительно невелико в силу инертности DNS и нахождения старого адреса в кэшах. Не рассчитывая на такой исход, исследователь отключил свой DNS-сервер и сразу написал уведомление организации, администрирующей зону .io, попутно указав ещё несколько имён DNS-серверов, свободных для регистрации, аналогично имени ns-a1.io.

Письмо вернулось с сообщением о недоступности адреса, несмотря на то, что этот email был указан в качестве контактного в официальной базе IANA. Тогда исследователь решил не тратить время на поиск и преодоление кордонов поддержки, а зарегистрировал на себя оставшиеся имена ns-a2.io, ns-a3.io и ns-a4.io, чтобы не дать возможность злоумышленникам захватить контроль над доменами аналогичным способом. После этого был направлен запрос в службу поддержки NIC.IO, которая, как часто бывает, перенаправила его на другой адрес (abuse@101domain.com). К обеду следующего дня пришло уведомление о блокировке доменов, устранении проблемы и возврате потраченных средств.



  1. Главная ссылка к новости (https://thehackerblog.com/the-...)
  2. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  3. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  4. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
  5. OpenNews: Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei
  6. OpenNews: Зафиксирована крупная атака на корневые DNS-серверы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, kerneliq, 12:57, 11/07/2017 [ответить] [смотреть все]
  • +25 +/
    Жесть то какая
     
     
  • 2.28, Michael Shigorin, 23:18, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –16 +/
    Дык цЫвилизация , просвещённый запад , не то что эти ваши раздолбаи в стране т... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, XoRe, 00:42, 12/07/2017 [^] [ответить] [смотреть все]  
  • +7 +/
    > раздолбаи в стране трактороводства.

    Которые руками роскомнадзора целые банки на весь рунет блокируют? Да, это вы точно подметили.


     
  • 3.39, Аноним, 09:29, 12/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Раздолбаи во всех странах одинаковы.
     
  • 3.54, fi, 15:45, 14/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Действительно, зачем такие сложности Вот у нас надзор сперва все сломает, а пот... весь текст скрыт [показать]
     
  • 2.32, Аноним, 03:49, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    http://github.io
     
  • 1.2, Аноним, 13:20, 11/07/2017 [ответить] [смотреть все]  
  • +30 +/
    Как стать регистратором без лишнего геморроя.
     
  • 1.3, Аноним, 13:21, 11/07/2017 [ответить] [смотреть все]  
  • –18 +/
    Наткнулся на закладку, существование которой должно быть очевидно любому, знающе... весь текст скрыт [показать]
     
     
  • 2.4, Crazy Alex, 13:23, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +13 +/
    Не тупи, а? Явное же наследие той (довольно приятной, надо сказать) эпохи, когда доменов верхнего уровня было полторы штуки. Как говорится, не стоит искать злой умысле в том что вполне объяснимо глупостью.
     
     
  • 3.14, GG, 17:11, 11/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Эту поговорку придумали злые люди чтобы творить зло безнаказанно All that is ne... весь текст скрыт [показать]
     
     
  • 4.21, Crazy Alex, 17:24, 11/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Паранойя не даёт покоя?
    И пафос за компанию.
     
     
  • 5.23, GG, 18:25, 11/07/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Пафосные параноики мешают творить зло Или просто мозгов своих нет ... весь текст скрыт [показать]
     
     
  • 6.41, Crazy Alex, 09:57, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Ёк, да тут совсем плохо... Он насчёт "зла" всерьёз, что ли?
     
  • 4.48, Аноним, 18:45, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    И тем не менее, думай позитивно, стакан всегда на половину полон, всегда ... весь текст скрыт [показать]
     
     
  • 5.53, nuclight, 19:36, 13/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Только не думай о том, что в стакане... думай, что в стакане вода.
     
  • 2.5, Аноним, 15:15, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Какая ещё закладка Закладки делают аккуратно, а тут полнейшее раздолбайство А ... весь текст скрыт [показать] [показать ветку]
     
  • 2.8, Укпшд, 16:04, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > А ещё на DNS основан SSL…

    Что???

     
     
  • 3.30, XoRe, 00:44, 12/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Попробуйте получить ssl сертификат на ip адрес ... весь текст скрыт [показать]
     
     
  • 4.43, angra, 11:01, 12/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Какое отношение имеют сложившиеся практики среди CA к самому протоколу SSL TLS ... весь текст скрыт [показать]
     
  • 2.10, Noteme, 16:28, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Перелогиньтесь.
     
  • 2.13, Lolwat, 17:11, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А на SSL основан HTTP А на HTTP основан DNS recycle ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 06:36, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/111701.html#30
     
     
  • 4.46, Lolwat, 17:26, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Легко
     
  • 4.47, Lolwat, 17:27, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    SSL не привязан к DNS... весь текст скрыт [показать]
     
  • 2.19, mimocrocodile, 17:18, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А чо все на чувака накинулись Контролируя DNS можно легко получить валидный сер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, username, 19:57, 11/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    За США Вот вообще не волнует политика здесь Не нужно за уши тянуть эту тему... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 09:32, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Тем более что США тут вообще не при делах, доменом управляет британский регистра... весь текст скрыт [показать]
     
  • 4.49, Аноним, 18:59, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    США это которые владеют шнурком через атлантическое болото Но для любителей альт... весь текст скрыт [показать]
     
  • 3.38, Аноним, 09:26, 12/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Можно. Только это не значит, что "SSL основан на DNS".
     
  • 3.45, Старый одмин, 15:48, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Чо правда А я то думал что для производства заверенного сертификата нужен закры... весь текст скрыт [показать]
     
  • 1.6, Аноним, 15:25, 11/07/2017 [ответить] [смотреть все]  
  • –1 +/
    Исследователю удалось получить контроль за 4 из 7 полный контроль за всеми до... весь текст скрыт [показать]
     
     
  • 2.12, Аноним, 16:42, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Атака 51%.

    Скорее бы сентябрь, делом займёшься.

     
  • 2.20, Аноним, 17:21, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Для полного контроля и одного достаточно, идите читать как работает DNS.
     
  • 1.7, Аноним, 15:36, 11/07/2017 [ответить] [смотреть все]  
  • +5 +/
    Уведомление самому себе ... весь текст скрыт [показать]
     
     
  • 2.51, КО, 10:06, 13/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Он еще сам себя заблокировал. :)
     
  • 1.24, www2, 19:36, 11/07/2017 [ответить] [смотреть все]  
  • +/
    Хипстеры, зарегистрировавшие домены в модной зоне, разминают кеды, чтобы сбежать на другие домены.
     
     
  • 2.42, Crazy Alex, 09:58, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если ты не понял из новости - уже всё поправлено
     
     
  • 3.52, КО, 10:06, 13/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Но в других то областях - нет :)
     
  • 1.33, Аноним, 06:33, 12/07/2017 [ответить] [смотреть все]  
  • +1 +/
    Продам домен первого уровня, недорого.
     
     
  • 2.35, Аноним, 06:42, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну теперь можно продать за  9600 баксов, или того дороже
     
  • 1.44, Аноним, 13:08, 12/07/2017 [ответить] [смотреть все]  
  • +/
    io - индийский океан.
     
  • 1.55, eka33, 06:14, 22/11/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    ★★★★

    ✅✅✅✅ 15 ООО рублей в день работая 15-20 минут за компьютером или ноутбуком!

    ✅✅✅✅ Pабoта для жeлaющих сaйт   http://delocentr.ru

    ★★★★

    _________________________________________________________

    46835

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor