The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.07.2017 12:15  Техника атаки, позволившая получить контроль над всеми доменами в зоне .io

Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал оригинальный метод атаки на всю систему доменов первого уровня, который позволил получить полный контроль над всеми доменами в зоне ".io". Исследователю удалось получить контроль над 4 из 7 первичных DNS-серверов зоны ".io", пользуясь тем, что DNS-серверы, отвечающие за обслуживание домена первого уровня, имеют имена в той же зоне и рассматриваются некоторыми регистраторами на общих основаниях. Атака сводится к поиску просроченных в базе регистратора имён первичных DNS-серверов и регистрации домена с тем же именем, после чего атакующий получает контроль над первичным DNS-сервером зоны первого уровня.

Для автоматизации атаки написан инструментарий, который осуществляет поиск и перебор имён DNS-серверов, оценку задействования сервера в цепочке обслуживания доменной зоны и проверку доступности домена для регистрации через API регистратора. Анализ зоны .io показал, что несколько доменов серверов DNS для данной зоны оказались доступны для регистрации при проверке через API регистратора Gandi. Часто подобные домены включаются в список зарезервированных имён и регистрация блокируется на одной из последних стадий, но в случае имени "ns-a1.io" этого не было сделано, и домен был доступен для свободной продажи на общих основаниях по цене 96 долларов.

Исследователь не удержался и купил этот домен через сервис nic.io. Вскоре ему пришло уведомление об активации домена, а запуск утилиты dig показал, что он действительно получил контроль над одним из первичных DNS-серверов зоны .io и в качестве DNS-серверов для него теперь выставлены хосты ns1/ns2.networkobservatory.com, заданные в настройках исследователем, а другие корневые серверы содержат данный хост в списке первичных DNS-серверов:



   $ dig NS ns-a1.io

   ;; QUESTION SECTION:
   ;ns-a1.io.          IN  NS

   ;; ANSWER SECTION:
   ns-a1.io.       86399   IN  NS  ns2.networkobservatory.com.
   ns-a1.io.       86399   IN  NS  ns1.networkobservatory.com.


   $ dig NS io. @k.root-servers.net.

   ;; QUESTION SECTION:
   ;io.                IN  NS

   ;; AUTHORITY SECTION:
   io.         172800  IN  NS  ns-a1.io.
   io.         172800  IN  NS  ns-a2.io.
   io.         172800  IN  NS  ns-a3.io.
   io.         172800  IN  NS  ns-a4.io.
   io.         172800  IN  NS  a0.nic.io.
   io.         172800  IN  NS  b0.nic.io.
   io.         172800  IN  NS  c0.nic.io.

   ;; ADDITIONAL SECTION:
   ns-a1.io.       172800  IN  A   194.0.1.1
   ns-a2.io.       172800  IN  A   194.0.2.1
   ns-a3.io.       172800  IN  A   74.116.178.1
   ns-a4.io.       172800  IN  A   74.116.179.1
   a0.nic.io.      172800  IN  A   65.22.160.17
   b0.nic.io.      172800  IN  A   65.22.161.17
   c0.nic.io.      172800  IN  A   65.22.162.17

Кроме того, анализ локального трафика через tcpdump показал, что на систему исследователя обрушилась волна запросов, адресованных первичному серверу, число которых было относительно невелико в силу инертности DNS и нахождения старого адреса в кэшах. Не рассчитывая на такой исход, исследователь отключил свой DNS-сервер и сразу написал уведомление организации, администрирующей зону .io, попутно указав ещё несколько имён DNS-серверов, свободных для регистрации, аналогично имени ns-a1.io.

Письмо вернулось с сообщением о недоступности адреса, несмотря на то, что этот email был указан в качестве контактного в официальной базе IANA. Тогда исследователь решил не тратить время на поиск и преодоление кордонов поддержки, а зарегистрировал на себя оставшиеся имена ns-a2.io, ns-a3.io и ns-a4.io, чтобы не дать возможность злоумышленникам захватить контроль над доменами аналогичным способом. После этого был направлен запрос в службу поддержки NIC.IO, которая, как часто бывает, перенаправила его на другой адрес (abuse@101domain.com). К обеду следующего дня пришло уведомление о блокировке доменов, устранении проблемы и возврате потраченных средств.



  1. Главная ссылка к новости (https://thehackerblog.com/the-...)
  2. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  3. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  4. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
  5. OpenNews: Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei
  6. OpenNews: Зафиксирована крупная атака на корневые DNS-серверы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, kerneliq (ok), 12:57, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +25 +/
    Жесть то какая
     
     
  • 2.28, Michael Shigorin (ok), 23:18, 11/07/2017 [^] [ответить]    [к модератору]
  • –16 +/
    Дык "цЫвилизация", "просвещённый запад", не то что эти ваши раздолбаи в стране трактороводства.
    </sarcasm>
     
     
  • 3.29, XoRe (ok), 00:42, 12/07/2017 [^] [ответить]    [к модератору]
  • +7 +/
    > раздолбаи в стране трактороводства.

    Которые руками роскомнадзора целые банки на весь рунет блокируют? Да, это вы точно подметили.


     
  • 3.39, Аноним (-), 09:29, 12/07/2017 [^] [ответить]    [к модератору]
  • +2 +/
    Раздолбаи во всех странах одинаковы.
     
  • 3.54, fi (ok), 15:45, 14/07/2017 [^] [ответить]    [к модератору]
  • –1 +/
    Действительно, зачем такие сложности. Вот у нас надзор сперва все сломает, а потом пошлет несколько групп омона ака "гвардия" доломать и арестовать
     
  • 2.32, Аноним (-), 03:49, 12/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    http://github.io
     
  • 1.2, Аноним (-), 13:20, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +30 +/
    Как стать регистратором без лишнего геморроя.
     
  • 1.3, Аноним (-), 13:21, 11/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –18 +/
    Наткнулся на закладку, существование которой должно быть очевидно любому, знающе... весь текст скрыт [показать]
     
     
  • 2.4, Crazy Alex (ok), 13:23, 11/07/2017 [^] [ответить]    [к модератору]  
  • +13 +/
    Не тупи, а? Явное же наследие той (довольно приятной, надо сказать) эпохи, когда доменов верхнего уровня было полторы штуки. Как говорится, не стоит искать злой умысле в том что вполне объяснимо глупостью.
     
     
  • 3.14, GG (ok), 17:11, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Эту поговорку придумали злые люди чтобы творить зло безнаказанно.

    All that is necessary to triumph of evil is for good men to do nothing.

     
     
  • 4.21, Crazy Alex (ok), 17:24, 11/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Паранойя не даёт покоя?
    И пафос за компанию.
     
     
  • 5.23, GG (ok), 18:25, 11/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > Паранойя не даёт покоя?
    > И пафос за компанию.

    Пафосные параноики мешают творить зло?
    Или просто мозгов своих нет?

     
     
  • 6.41, Crazy Alex (ok), 09:57, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Ёк, да тут совсем плохо... Он насчёт "зла" всерьёз, что ли?
     
  • 4.48, Аноним (-), 18:45, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    >Эту поговорку придумали злые люди чтобы творить зло безнаказанно.

    И тем не менее, думай позитивно, стакан всегда на половину полон, всегда.

     
     
  • 5.53, nuclight (??), 19:36, 13/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Только не думай о том, что в стакане... думай, что в стакане вода.
     
  • 2.5, Аноним (-), 15:15, 11/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Какая ещё закладка Закладки делают аккуратно, а тут полнейшее раздолбайство А ... весь текст скрыт [показать]
     
  • 2.8, Укпшд (?), 16:04, 11/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > А ещё на DNS основан SSL…

    Что???

     
     
  • 3.30, XoRe (ok), 00:44, 12/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >> А ещё на DNS основан SSL…
    > Что???

    Попробуйте получить ssl сертификат на ip адрес.

     
     
  • 4.43, angra (ok), 11:01, 12/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Какое отношение имеют сложившиеся практики среди CA к самому протоколу SSL TLS ... весь текст скрыт [показать]
     
  • 2.10, Noteme (?), 16:28, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Перелогиньтесь.
     
  • 2.13, Lolwat (?), 17:11, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    >А ещё на DNS основан SSL

    А на SSL основан HTTP
    А на HTTP основан DNS

    #recycle

     
     
  • 3.34, Аноним (-), 06:36, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/111701.html#30
     
     
  • 4.46, Lolwat (?), 17:26, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Легко
     
  • 4.47, Lolwat (?), 17:27, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > https://www.opennet.ru/openforum/vsluhforumID3/111701.html#30

    SSL не привязан к DNS

     
  • 2.19, mimocrocodile (?), 17:18, 11/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А чо все на чувака накинулись? Контролируя DNS можно легко получить валидный сертификат на нужный домен. Вполне себе вектор атаки
     
     
  • 3.26, username (??), 19:57, 11/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    За "США".
    Вот вообще не волнует политика здесь. Не нужно за уши тянуть эту тему.
     
     
  • 4.40, Аноним (-), 09:32, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Тем более что США тут вообще не при делах, доменом управляет британский регистратор.
     
  • 4.49, Аноним (-), 18:59, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    США это которые владеют шнурком через атлантическое болото

    Но для любителей альтернативного троллинга можно заменить на "Ростелеком", "Белтелеком" или аналогичное воплощение зла в других регионах

     
  • 3.38, Аноним (-), 09:26, 12/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Можно. Только это не значит, что "SSL основан на DNS".
     
  • 3.45, Старый одмин (?), 15:48, 12/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Чо правда А я то думал что для производства заверенного сертификата нужен закры... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 15:25, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Исследователю удалось получить контроль за 4 из 7 != полный контроль за всеми доменами
     
     
  • 2.12, Аноним (-), 16:42, 11/07/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Атака 51%.

    Скорее бы сентябрь, делом займёшься.

     
  • 2.20, Аноним (-), 17:21, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Для полного контроля и одного достаточно, идите читать как работает DNS.
     
  • 1.7, Аноним (-), 15:36, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > и сразу написал уведомление организации, администрирующей зону .io

    Уведомление самому себе? ))

     
     
  • 2.51, КО (?), 10:06, 13/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Он еще сам себя заблокировал. :)
     
  • 1.24, www2 (ok), 19:36, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Хипстеры, зарегистрировавшие домены в модной зоне, разминают кеды, чтобы сбежать на другие домены.
     
     
  • 2.42, Crazy Alex (ok), 09:58, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Если ты не понял из новости - уже всё поправлено
     
     
  • 3.52, КО (?), 10:06, 13/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Но в других то областях - нет :)
     
  • 1.33, Аноним (-), 06:33, 12/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Продам домен первого уровня, недорого.
     
     
  • 2.35, Аноним (-), 06:42, 12/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну теперь можно продать за  9600 баксов, или того дороже
     
  • 1.44, Аноним (44), 13:08, 12/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    io - индийский океан.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor