The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.07.2017 12:15  Техника атаки, позволившая получить контроль над всеми доменами в зоне .io

Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал оригинальный метод атаки на всю систему доменов первого уровня, который позволил получить полный контроль над всеми доменами в зоне ".io". Исследователю удалось получить контроль над 4 из 7 первичных DNS-серверов зоны ".io", пользуясь тем, что DNS-серверы, отвечающие за обслуживание домена первого уровня, имеют имена в той же зоне и рассматриваются некоторыми регистраторами на общих основаниях. Атака сводится к поиску просроченных в базе регистратора имён первичных DNS-серверов и регистрации домена с тем же именем, после чего атакующий получает контроль над первичным DNS-сервером зоны первого уровня.

Для автоматизации атаки написан инструментарий, который осуществляет поиск и перебор имён DNS-серверов, оценку задействования сервера в цепочке обслуживания доменной зоны и проверку доступности домена для регистрации через API регистратора. Анализ зоны .io показал, что несколько доменов серверов DNS для данной зоны оказались доступны для регистрации при проверке через API регистратора Gandi. Часто подобные домены включаются в список зарезервированных имён и регистрация блокируется на одной из последних стадий, но в случае имени "ns-a1.io" этого не было сделано, и домен был доступен для свободной продажи на общих основаниях по цене 96 долларов.

Исследователь не удержался и купил этот домен через сервис nic.io. Вскоре ему пришло уведомление об активации домена, а запуск утилиты dig показал, что он действительно получил контроль над одним из первичных DNS-серверов зоны .io и в качестве DNS-серверов для него теперь выставлены хосты ns1/ns2.networkobservatory.com, заданные в настройках исследователем, а другие корневые серверы содержат данный хост в списке первичных DNS-серверов:



   $ dig NS ns-a1.io

   ;; QUESTION SECTION:
   ;ns-a1.io.          IN  NS

   ;; ANSWER SECTION:
   ns-a1.io.       86399   IN  NS  ns2.networkobservatory.com.
   ns-a1.io.       86399   IN  NS  ns1.networkobservatory.com.


   $ dig NS io. @k.root-servers.net.

   ;; QUESTION SECTION:
   ;io.                IN  NS

   ;; AUTHORITY SECTION:
   io.         172800  IN  NS  ns-a1.io.
   io.         172800  IN  NS  ns-a2.io.
   io.         172800  IN  NS  ns-a3.io.
   io.         172800  IN  NS  ns-a4.io.
   io.         172800  IN  NS  a0.nic.io.
   io.         172800  IN  NS  b0.nic.io.
   io.         172800  IN  NS  c0.nic.io.

   ;; ADDITIONAL SECTION:
   ns-a1.io.       172800  IN  A   194.0.1.1
   ns-a2.io.       172800  IN  A   194.0.2.1
   ns-a3.io.       172800  IN  A   74.116.178.1
   ns-a4.io.       172800  IN  A   74.116.179.1
   a0.nic.io.      172800  IN  A   65.22.160.17
   b0.nic.io.      172800  IN  A   65.22.161.17
   c0.nic.io.      172800  IN  A   65.22.162.17

Кроме того, анализ локального трафика через tcpdump показал, что на систему исследователя обрушилась волна запросов, адресованных первичному серверу, число которых было относительно невелико в силу инертности DNS и нахождения старого адреса в кэшах. Не рассчитывая на такой исход, исследователь отключил свой DNS-сервер и сразу написал уведомление организации, администрирующей зону .io, попутно указав ещё несколько имён DNS-серверов, свободных для регистрации, аналогично имени ns-a1.io.

Письмо вернулось с сообщением о недоступности адреса, несмотря на то, что этот email был указан в качестве контактного в официальной базе IANA. Тогда исследователь решил не тратить время на поиск и преодоление кордонов поддержки, а зарегистрировал на себя оставшиеся имена ns-a2.io, ns-a3.io и ns-a4.io, чтобы не дать возможность злоумышленникам захватить контроль над доменами аналогичным способом. После этого был направлен запрос в службу поддержки NIC.IO, которая, как часто бывает, перенаправила его на другой адрес (abuse@101domain.com). К обеду следующего дня пришло уведомление о блокировке доменов, устранении проблемы и возврате потраченных средств.



  1. Главная ссылка к новости (https://thehackerblog.com/the-...)
  2. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  3. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  4. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
  5. OpenNews: Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei
  6. OpenNews: Зафиксирована крупная атака на корневые DNS-серверы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, kerneliq, 12:57, 11/07/2017 [ответить] [смотреть все]    [к модератору]
  • +25 +/
    Жесть то какая
     
     
  • 2.28, Michael Shigorin, 23:18, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –16 +/
    Дык цЫвилизация , просвещённый запад , не то что эти ваши раздолбаи в стране т... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, XoRe, 00:42, 12/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    > раздолбаи в стране трактороводства.

    Которые руками роскомнадзора целые банки на весь рунет блокируют? Да, это вы точно подметили.


     
  • 3.39, Аноним, 09:29, 12/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Раздолбаи во всех странах одинаковы.
     
  • 3.54, fi, 15:45, 14/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Действительно, зачем такие сложности Вот у нас надзор сперва все сломает, а пот... весь текст скрыт [показать]
     
  • 2.32, Аноним, 03:49, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    http://github.io
     
  • 1.2, Аноним, 13:20, 11/07/2017 [ответить] [смотреть все]    [к модератору]  
  • +30 +/
    Как стать регистратором без лишнего геморроя.
     
  • 1.3, Аноним, 13:21, 11/07/2017 [ответить] [смотреть все]     [к модератору]  
  • –18 +/
    Наткнулся на закладку, существование которой должно быть очевидно любому, знающе... весь текст скрыт [показать]
     
     
  • 2.4, Crazy Alex, 13:23, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +13 +/
    Не тупи, а? Явное же наследие той (довольно приятной, надо сказать) эпохи, когда доменов верхнего уровня было полторы штуки. Как говорится, не стоит искать злой умысле в том что вполне объяснимо глупостью.
     
     
  • 3.14, GG, 17:11, 11/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Эту поговорку придумали злые люди чтобы творить зло безнаказанно All that is ne... весь текст скрыт [показать]
     
     
  • 4.21, Crazy Alex, 17:24, 11/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Паранойя не даёт покоя?
    И пафос за компанию.
     
     
  • 5.23, GG, 18:25, 11/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Пафосные параноики мешают творить зло Или просто мозгов своих нет ... весь текст скрыт [показать]
     
     
  • 6.41, Crazy Alex, 09:57, 12/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ёк, да тут совсем плохо... Он насчёт "зла" всерьёз, что ли?
     
  • 4.48, Аноним, 18:45, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И тем не менее, думай позитивно, стакан всегда на половину полон, всегда ... весь текст скрыт [показать]
     
     
  • 5.53, nuclight, 19:36, 13/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Только не думай о том, что в стакане... думай, что в стакане вода.
     
  • 2.5, Аноним, 15:15, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Какая ещё закладка Закладки делают аккуратно, а тут полнейшее раздолбайство А ... весь текст скрыт [показать] [показать ветку]
     
  • 2.8, Укпшд, 16:04, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    > А ещё на DNS основан SSL…

    Что???

     
     
  • 3.30, XoRe, 00:44, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Попробуйте получить ssl сертификат на ip адрес ... весь текст скрыт [показать]
     
     
  • 4.43, angra, 11:01, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Какое отношение имеют сложившиеся практики среди CA к самому протоколу SSL TLS ... весь текст скрыт [показать]
     
  • 2.10, Noteme, 16:28, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Перелогиньтесь.
     
  • 2.13, Lolwat, 17:11, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А на SSL основан HTTP А на HTTP основан DNS recycle ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 06:36, 12/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/111701.html#30
     
     
  • 4.46, Lolwat, 17:26, 12/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Легко
     
  • 4.47, Lolwat, 17:27, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    SSL не привязан к DNS... весь текст скрыт [показать]
     
  • 2.19, mimocrocodile, 17:18, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    А чо все на чувака накинулись Контролируя DNS можно легко получить валидный сер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, username, 19:57, 11/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    За США Вот вообще не волнует политика здесь Не нужно за уши тянуть эту тему... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 09:32, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тем более что США тут вообще не при делах, доменом управляет британский регистра... весь текст скрыт [показать]
     
  • 4.49, Аноним, 18:59, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    США это которые владеют шнурком через атлантическое болото Но для любителей альт... весь текст скрыт [показать]
     
  • 3.38, Аноним, 09:26, 12/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Можно. Только это не значит, что "SSL основан на DNS".
     
  • 3.45, Старый одмин, 15:48, 12/07/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Чо правда А я то думал что для производства заверенного сертификата нужен закры... весь текст скрыт [показать]
     
  • 1.6, Аноним, 15:25, 11/07/2017 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Исследователю удалось получить контроль за 4 из 7 полный контроль за всеми до... весь текст скрыт [показать]
     
     
  • 2.12, Аноним, 16:42, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Атака 51%.

    Скорее бы сентябрь, делом займёшься.

     
  • 2.20, Аноним, 17:21, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Для полного контроля и одного достаточно, идите читать как работает DNS.
     
  • 1.7, Аноним, 15:36, 11/07/2017 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Уведомление самому себе ... весь текст скрыт [показать]
     
     
  • 2.51, КО, 10:06, 13/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Он еще сам себя заблокировал. :)
     
  • 1.24, www2, 19:36, 11/07/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Хипстеры, зарегистрировавшие домены в модной зоне, разминают кеды, чтобы сбежать на другие домены.
     
     
  • 2.42, Crazy Alex, 09:58, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Если ты не понял из новости - уже всё поправлено
     
     
  • 3.52, КО, 10:06, 13/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Но в других то областях - нет :)
     
  • 1.33, Аноним, 06:33, 12/07/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Продам домен первого уровня, недорого.
     
     
  • 2.35, Аноним, 06:42, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Ну теперь можно продать за  9600 баксов, или того дороже
     
  • 1.44, Аноним, 13:08, 12/07/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    io - индийский океан.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor