Вопрос: запросы DNS для нечетных доменных имен, таких как mAiL.myDOmAIn.De


Я включил запись в named. Около 2% всех запросов содержат нечетное сочетание верхнего и нижнего регистра, например

Jan  7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address)
Jan  7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address)
Jan  7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address)

Смена верхнего и нижнего регистров изменяется даже при запросе у одного и того же клиента, некоторые запросы разделяются на несколько секунд. Большинство запросов, похоже, исходят от местных (немецких) провайдеров DSL.

Может кто-нибудь объяснить, что здесь происходит? Я понятия не имею, почему кто-то рандомизирует капитализацию доменного имени или какую проблему безопасности хочет использовать злоумышленник.


5
2018-01-08 18:33


Источник


Может быть способ обойти некоторые IDS / IPSes. - gparent


Ответы:


Они / их клиенты могут использовать реализацию DNS, которая использует кодировку 0x20 бит (что помогает предотвратить подделку DNS).
Это в основном добавляет больше энтропии к DNS-запросам, теперь злоумышленнику нужно угадать идентификатор запроса, порт источника а также имя запроса в соответствующем случае, чтобы успешно подделать ответ.

Видеть http://tools.ietf.org/html/draft-vixie-dnsext-dns0x20-00


7
2018-01-08 18:53