域名不僅是我們實(shí)現(xiàn)互聯(lián)網(wǎng)的基礎(chǔ)，而且也讓我們?cè)谠L問(wèn)互聯(lián)網(wǎng)資源時(shí)方便了許多。雖然很多人在自己的日常生活中都會(huì)使用到各種各樣的域名，但是幾乎很少有人真正了解它們的運(yùn)行機(jī)制。在多個(gè)抽象層以及多種Web服務(wù)的幫助下，用戶可以輕松地購(gòu)買(mǎi)并持有域名，然后在完全不了解DNS、域名注冊(cè)商或WHOIS的情況下搭建好自己的整個(gè)站點(diǎn)。雖然這種抽象形式給終端用戶帶來(lái)了很多好處，但同樣也給他們屏蔽了很多重要信息。比如說(shuō)，很多域名注冊(cè)商會(huì)向用戶積極推薦.io域名，但是又有多少個(gè)購(gòu)買(mǎi)了.io域名的用戶清楚誰(shuí)才是背后真正持有并管理這些.io域名的人呢？
我想表達(dá)的并不是“絕大多數(shù)的域名持有者都不知道自己域名背后的運(yùn)行機(jī)制”。實(shí)際上，我想在這篇文章中跟大家討論的是域名后綴（Domain Extension）的安全問(wèn)題。
DNS結(jié)構(gòu)簡(jiǎn)介
注：如果你已經(jīng)清楚DNS的工作機(jī)制及其委派機(jī)制的話，你可以直接跳過(guò)這一章節(jié)。
那么，當(dāng)你購(gòu)買(mǎi)一個(gè)域名時(shí)，你真正購(gòu)買(mǎi)的實(shí)際上是什么呢？簡(jiǎn)單來(lái)說(shuō)，你購(gòu)買(mǎi)的實(shí)際上是一些NS（域名解析服務(wù)器）記錄，這些記錄托管在域名后綴的域名解析服務(wù)器上，其中還不包括類(lèi)似WHOIS、域名注冊(cè)商服務(wù)以及ICANN服務(wù)這樣的輔助性服務(wù)在內(nèi)。我在研究過(guò)程中發(fā)現(xiàn)，如果想要深入理解DNS的運(yùn)行機(jī)制，那么可視化絕對(duì)是一種非常好的學(xué)習(xí)方式，因此我專(zhuān)門(mén)編寫(xiě)了這款名叫TrustTrees的工具，它可以生成一個(gè)域名的委托路徑圖。為了更好地理解域名后綴在整個(gè)DNS執(zhí)行鏈中的具體位置，我們先來(lái)看一看下面這張圖片，圖片中顯示的是example.com的委托鏈。

如上圖所示，委托鏈起始于根節(jié)點(diǎn)DNS服務(wù)器，并通過(guò)一系列節(jié)點(diǎn)之間的傳遞最終尋找到目標(biāo)域名解析服務(wù)器，客戶端發(fā)送的DNS查詢請(qǐng)求同樣起始于根節(jié)點(diǎn)DNS服務(wù)器。客戶端會(huì)向其中一個(gè)root域名解析服務(wù)器發(fā)送DNS查詢請(qǐng)求，但服務(wù)器起始并不知道如何響應(yīng)這種請(qǐng)求，因此它會(huì)將查詢請(qǐng)求委托給TLD（頂級(jí)域名），而TLD會(huì)負(fù)責(zé)將請(qǐng)求發(fā)送給正確的域名解析服務(wù)器，最終客戶端將接收到正確的域名解析服務(wù)器所返回的權(quán)威應(yīng)答。上圖顯示了所有可能的委托路徑（藍(lán)色代表權(quán)威應(yīng)答），之所以會(huì)存在這么多路徑，是因?yàn)镈NS響應(yīng)中包含一堆隨機(jī)排序的應(yīng)答列表，這是為了均衡查詢負(fù)載而設(shè)計(jì)的（這種技術(shù)名為Round Robin DNS）。根據(jù)返回結(jié)果的不同順序，最終負(fù)責(zé)處理查詢請(qǐng)求的域名解析服務(wù)器也會(huì)不同，因此它們也有可能提供不同的查詢結(jié)果，上圖中也顯示了不同的排序以及域名解析服務(wù)器之間的關(guān)系。
因此，你在購(gòu)買(mǎi)了example.com之后，.com將會(huì)向其DNS空間中添加一些NS記錄，這些記錄負(fù)責(zé)將有關(guān)example.com的DNS查詢請(qǐng)求委托給你所提供的域名解析服務(wù)器。這種“委托給你域名解析服務(wù)器”的方式不僅可以允許你控制自己的域名，而且還可以允許你創(chuàng)建example.com的任意子域名以及DNS記錄。如果.com將指向你域名解析服務(wù)器的NS記錄移除了，那么任何人都無(wú)法再訪問(wèn)到你的域名解析服務(wù)器，因此example.com也就沒(méi)有意義了。
實(shí)際上在上圖所示的鏈圖中，TLD和域名后綴的工作機(jī)制是十分相似的。TLD之所以能夠存在并進(jìn)行操作，是因?yàn)楦�域名解析服�?wù)器將查詢請(qǐng)求委托給了TLD的域名解析服務(wù)器，如果根域名解析服務(wù)器突然將.com的NS記錄從其域名空間數(shù)據(jù)庫(kù)中刪除了，那么全世界所有的.com域名都將無(wú)法正常訪問(wèn)。
與域名一樣，域名后綴同樣會(huì)受到域名解析服務(wù)器漏洞的影響

我們現(xiàn)在已經(jīng)清楚了，TLD和域名后綴與普通域名一樣都是擁有域名解析服務(wù)器的，那么問(wèn)題就來(lái)了，“這是否意味著TLD和域名后綴與普通域名一樣也會(huì)受到DNS安全問(wèn)題的影響呢？”答案是肯定的。如果你閱讀我我們之前發(fā)布的一些文章，你就會(huì)知道我們有多種方法來(lái)劫持域名解析服務(wù)器。不僅如此，我們還介紹了如何利用過(guò)期域名劫持域名解析服務(wù)器【參考資料一】以及如何在未經(jīng)認(rèn)證的情況下拿到域名空間的完整控制權(quán)【參考資料二】。有了上面這些知識(shí)儲(chǔ)備之后，我們準(zhǔn)備實(shí)現(xiàn)一個(gè)更加有意思的目標(biāo)：接管整個(gè)域名后綴。
接管域名后綴-攻擊計(jì)劃
與惡意攻擊者不同的是，我并不打算走捷徑來(lái)實(shí)現(xiàn)我們的目標(biāo)，即劫持一個(gè)域名后綴。我會(huì)按照攻擊域名后綴的研究方法來(lái)帶著大家一步一步進(jìn)行操作。但是我發(fā)現(xiàn)，很多域名后綴／TLD域名解析服務(wù)器都處于一種非常不安全的狀態(tài)，所以利用漏洞并獲取到一個(gè)域名后綴的控制權(quán)其實(shí)比你想象的還要簡(jiǎn)單。雖然討論類(lèi)似“如何在域名解析服務(wù)器／記錄上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行”這樣的話題有些超綱了，但我還是要提到這部分內(nèi)容，因?yàn)檫@也是實(shí)現(xiàn)我們目標(biāo)的方法之一。
一般來(lái)說(shuō)，攻擊者一般會(huì)使用下面這些方法來(lái)入侵一個(gè)TLD或域名后綴：
利用DNS服務(wù)器（該服務(wù)器托管了一個(gè)給定的域名后綴）中的漏洞或利用域名后綴的域名解析服務(wù)器中其他服務(wù)的漏洞。攻擊域名記錄的方法同樣屬于這種類(lèi)型，因?yàn)楦�新域名空間對(duì)它們來(lái)說(shuō)屬于常規(guī)操作。
查找并注冊(cè)一個(gè)過(guò)期或拼寫(xiě)有誤的域名解析服務(wù)器域，它可以提供針對(duì)域名后綴/TLD的權(quán)威應(yīng)答。
通過(guò)創(chuàng)建一個(gè)DNS空間來(lái)劫持域名后綴。
查找TLD的WHOIS聯(lián)系信息，并劫持其電子郵箱地址。
接下來(lái)，我們會(huì)對(duì)上面這些方法一一進(jìn)行討論，并嘗試一步一步實(shí)現(xiàn)我們的目標(biāo)。
很多TLD和域名后綴的域名解析服務(wù)器都存在安全漏洞
在研究第一種攻擊方法之前，我打算對(duì)所有TLD的域名解析服務(wù)器進(jìn)行一次簡(jiǎn)單的端口掃描。一般情況下，服務(wù)器會(huì)開(kāi)啟端口53來(lái)監(jiān)聽(tīng)UDP/TCP連接，此時(shí)所有其他的端口都將處于關(guān)閉狀態(tài)。鑒于這些域名解析服務(wù)器的功能和地位都如此重要，所以管理員們都會(huì)盡可能地縮小服務(wù)器與外界的接觸范圍，暴露任何多余的服務(wù)（例如HTTP、SSH或SMTP等等）都意味著我們?cè)诮o攻擊者提供更多的入侵方法。
Finger協(xié)議
203.119.60.105（e.dns-server.vn）: 頂級(jí)域名.vn的權(quán)威域名解析服務(wù)器（越南來(lái)源：本站整理 作者：佚名 時(shí)間：2017-06-08 TAG： 我要投稿

 

202.29.151.3（munnari.oz.au）:頂級(jí)域名.ba的權(quán)威域名解析服務(wù)器（波斯尼亞和黑塞哥維那）
Les Earnest于1971年設(shè)計(jì)出了Finger協(xié)議，該協(xié)議允許用戶檢查遠(yuǎn)程計(jì)算機(jī)中某個(gè)用戶的狀態(tài)。這是一個(gè)非常老的協(xié)議，現(xiàn)代系統(tǒng)幾乎不會(huì)再使用這個(gè)協(xié)議了。這個(gè)協(xié)議的核心觀點(diǎn)正好可以回答下面這個(gè)問(wèn)題：“嗨，Dave現(xiàn)在正在使用他的設(shè)備嗎？他正在忙嗎？”在Finger協(xié)議的幫助下，你可以檢測(cè)遠(yuǎn)程用戶的登錄名、真實(shí)名稱(chēng)、終端名稱(chēng)、空閑時(shí)間、登錄時(shí)間、辦公地點(diǎn)以及辦公電話等等。接下來(lái)，我們會(huì)利用Finger協(xié)議來(lái)檢查上面那個(gè)波斯尼亞的權(quán)威域名解析服務(wù)器，然后查看root用戶的情況：
bash-3.2$ finger -l root@202.29.151.3
[202.29.151.3]
Login: root                       Name: Charlie Root
Directory: /root                        Shell: /bin/sh
Last login Sat Dec 14 16:41 2013 (ICT) on console
No Mail.
No Plan.
看來(lái)這個(gè)服務(wù)器的root用戶已經(jīng)很久沒(méi)上過(guò)線了…接下來(lái)，我們看一看越南的那個(gè)域名解析服務(wù)器：
bash-3.2$ finger -l user@203.119.60.105
[203.119.60.105]
Login name: nobody                In real life: NFS Anonymous Access User
Directory: /                       
Never logged in.
No unread mail
No Plan.
Login name: noaccess              In real life: No Access User
Directory: /                       
Never logged in.
No unread mail
No Plan.
Login name: nobody4               In real life: SunOS 4.x NFS Anonymous Access User
Directory: /                        
Never logged in.
No unread mail
No Plan.
Login name: named                 In real life: User run named
Directory: /home/named                  Shell: /bin/false
Never logged in.
No unread mail
No Plan.
bash-3.2$
bash-3.2$ finger -l root@203.119.60.105
[203.119.60.105]
Login name: root                  In real life: Super-User
Directory: /                            Shell: /sbin/sh
Last login Tue Sep 30, 2014 on pts/1 from DNS-E
No unread mail
No Plan.
這個(gè)服務(wù)器的root用戶上一次登錄時(shí)間為2014年9月30日。需要注意的是，這些服務(wù)器安裝了Finger協(xié)議，也就暗示了這些服務(wù)器的年代到底有多么久遠(yuǎn)。
動(dòng)態(tài)網(wǎng)站
除了端口53之外，域名解析服務(wù)器中最常見(jiàn)的開(kāi)放端口應(yīng)該就是端口80（HTTP）了，我們甚至可以直接訪問(wèn)這些網(wǎng)站來(lái)獲取很多有意思的信息。比如說(shuō)，其中的一個(gè)域名解析服務(wù)器會(huì)直接將我重定向到一個(gè)廣告網(wǎng)站：
* Rebuilt URL to: http://93.190.140.242/
*   Trying 93.190.140.242...
* Connected to 93.190.140.242 (93.190.140.242) port 80 (#0)
> GET / HTTP/1.1
> Host: 93.190.140.242
> Accept: */*
> User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0
>
* Closing connection 0
我現(xiàn)在還無(wú)法確定這是不是一臺(tái)已經(jīng)被入侵的域名解析服務(wù)器，或者說(shuō)這只是管理員單純地想賺外快而已。
某些其他的域名解析服務(wù)器（例如阿爾巴尼亞的.com.al, .edu.al, .mil.al, .net.al和.nic.al域名解析服務(wù)器）則會(huì)返回各種配置頁(yè)面，這些頁(yè)面提供了關(guān)于當(dāng)前設(shè)備的verbose信息：

如果不能在遠(yuǎn)程服務(wù)器上運(yùn)行命令行工具的話，總感覺(jué)少了點(diǎn)什么：

總結(jié)
除此之外，某些域名解析服務(wù)器中還加載了很多有趣的服務(wù)，但在此我就不對(duì)其進(jìn)行贅述了。對(duì)于域名解析服務(wù)器來(lái)說(shuō)，類(lèi)似SMTP、IMAP、MySQL、SNMP和RDP這樣的端口很可能都處于開(kāi)放狀態(tài)，這些服務(wù)給攻擊者提供了很多攻擊切入點(diǎn)，這將會(huì)極大地提高攻擊者的入侵成功率。但我不鼓勵(lì)大家進(jìn)行更深入地測(cè)試，因?yàn)槲覀兊哪康牟⒉皇菫榱诉M(jìn)行惡意操作。其實(shí)很多域名解析服務(wù)器早就已經(jīng)過(guò)時(shí)了，而且服務(wù)器所運(yùn)行的軟件其安全性也是千瘡百孔。不幸的是，由于這些服務(wù)器的年代過(guò)于久遠(yuǎn)，我們甚至連管理員都無(wú)法聯(lián)系到，更別說(shuō)去修復(fù)這些漏洞了。