如何检测幽灵域名

幽灵域名是指那些已经被从TLD服务器中删除,但却仍然可被DNS服务器所解析的域。其出现的原因分以下两种:

对应域授权数据的TTL值尚未耗尽。请注意,如果对象域的TTL不会被刷新,那么则不应将其视为幽灵域名。

授权数据的TTL值利用DNS服务器漏洞进行不断刷新。

下面是一些颇具指导意义的办法,以帮助大家揪出幽灵域名。

在域中通过遍历DNS分层结构的方式执行DNS查询,即本文中“DNS查询”章节中的内容。

利用特定DNS服务器对某个域的A记录发起查询。

如果DNS查询步骤无法给出回应,但却能通过使用特定DNS服务器得到查询结果,那么目标域很可能属于幽灵域。我们无法确定得出确切结论,因为很可能这种现象是由于授权数据的TTL尚未耗尽所造成当然也不排除其中存在TTL重置活动)。所以,目前最大的难题就是界定哪些属于幽灵域而哪些不是。

以下步骤可能具有一定辅助作用:

记录目录授权数据的TTL值。

等待域TTL值剩余时间耗尽,并再次发起查询。如果该DNS服务器仍然能够解析目标域,那么我们可以肯定该域为幽灵域。

综述

在这篇文章中,我们就论文中公布的漏洞展开讨论。归纳来说,就是通过非法更新DNS服务器缓存的方式,人为刷新特定域授权数据的TTL值。这意味着该域在被从TLD服务器中清除后,仍然可以长期处于可解析状态。其后我们又讨论了一些方法,用于界定某个特定域是否属于幽灵域。

参考文献

1.幽灵域名:被消除后仍可解析
https://www.isc.org/files/imce/ghostdomain_camera.pdf
2.DNS攻击从入门到精通)
http://resources.infosecinstitute.com/dns-hacking/


共7页: 上一页1234567下一页

相关内容