南宫28经过BGP绑架修正网络付出体系DNS记载日期:2021-07-02 13:45:37 浏览次数:34 分类:下一代DNS 来源:南宫28登录入口 作者:ng28南宫娱乐官网 |
||
在2018年4月,Oracle曾详细描述了针对亚马逊威望DNS服务的BGP绑架事情,那次进犯意图是将用户重定向到一个垂钓网站。
在曩昔一个月里,Oracle调查到了对威望DNS服务器施行BGP绑架的别的几起事情,方法于上文中说到的类似。这次方针包含美国付出处理公司。与亚马逊事例相同,最近的这几回BGP绑架使得冒充的DNS服务器能够回来假造的DNS呼应,将不知情的用户导向至歹意网站。由于在假造的呼应中运用了很长的TTL(生计时刻)值,递归的DNS服务器在BGP绑架完结很久后,仍将这些假造的DNS条目保存在缓存中,延长了进犯的继续时刻。
在2018年7月10日 22:17:37(UTC),马来西亚运营商Extreme Broadband(AS38182)也将上述前缀布告了约30分钟。由于时刻不是很长,这些绑架前缀没有广泛传达。
在23:37:47(UTC),这些前缀再次被布告了约15分钟,不过这次是针对更广的规模,包含48个peer。BGP community从24218:1120变成24218:1,好像加大了路由传达规模。
Datawire是一种“能够经过公共互联网安全可靠地将金融交易传输到付出处理体系”的专利技术。Datawire的服务器ns2.datawire.net别离解析至216.220.36.76和69.46.100.71,这些地址在上面显现的被绑架网络中。
Datawire是一种“能够经过公共互联网安全可靠地将金融交易传输到付出处理体系”的专利技术。Datawire的服务器ns2.datawire.net别离解析至216.220.36.76和69.46.100.71,这些地址在上面显现的被绑架网络中。
2018年7月11日 00:29:24(UTC),AS38182开端在两次独自的事情中绑架一组新的前缀,每次继续了几分钟。
Mercury Payment Systems是一家信用卡处理服务公司,由Worldpay具有。Mercury服务器别离解析到209.235.25.13和63.111.40.13。这些IP地址被绑架为209.235.25.0/24和63.111.40.0/24的一部分。在2018年7月12日 21:51:36(UTC),AS38182开端绑架与曾经两次方针相同的五个路由。
Mercury Payment Systems是一家信用卡处理服务公司,由Worldpay具有。Mercury服务器别离解析到209.235.25.13和63.111.40.13。这些IP地址被绑架为209.235.25.0/24和63.111.40.0/24的一部分。在2018年7月12日 21:51:36(UTC),AS38182开端绑架与曾经两次方针相同的五个路由。
如下图所示,Q9明显现已留意到他们的路由被绑架,开端布告相同的路由以从头操控IP地址空间。
如下图所示,Q9明显现已留意到他们的路由被绑架,开端布告相同的路由以从头操控IP地址空间。
7月10日至13日之间的被迫DNS调查显现名解析到45.227.252.17,IP地址注册地为荷兰加勒比海岛库拉索岛,可是路由却经由乌克兰东部卢汉斯克区域宣布。
相同的是,4月亚马逊Route53服务被绑架后被指向46.161.42.42,IP注册地为德国,但路由相同经由乌克兰东部卢汉斯克宣布。
在上个月的绑架中,黑客很留意细节,将假造呼应的TTL设为~5天。方针域的正常TTL是10分钟(600秒)。经过装备很长的TTL,假造的记载在BGP绑架已中止很久后能够在DNS缓存层中继续一段时刻。
来自NTT Communications的Job Snijders表明:“咱们仅有的期望便是运用互联网职业的整合来发挥咱们的优势。假如闻名DNS服务供给商(包含官方和递归服务)运用RPKI签名路由,并验证经过EBGP收到的路由,那么这种进犯不会形成太大的影响,由于能够树立遭到维护的闭合途径。只要一小部分密布衔接的安排和组织需求布置根据RPKI的BGP源验证(BGP Origin Validation),保证为数十亿终端用户供给杰出的互联网体会。”
南宫28