Understanding the Security Threats of Dangling DNS Records - Week 8

01-28

清華大學網路與信息安全實驗室（NISL）學術分享的試運行，歡迎關注~
從專欄發布試運行開始短短几天以來，已經吸引了近千同學的支持與關注，非常感謝！

導語

本篇為第8周的論文分享回顧，以摘要的形式對論文進行了簡單總結，方便感興趣的同學進行快速了解以及備忘。

本周為大家帶來的是上周四分享的一篇文章：《All Your DNS Records Point to Us—Understanding the Security Threats of Dangling DNS Records》，本篇文章來自CCS 2016，揭示了DNS安全領域的一個被忽視的問題。

All Your DNS Records Point to Us—Understanding the Security Threats of Dangling DNS Records

0x01.概述

論文揭示了DNS安全領域的一個被忽視的問題：懸掛記錄（dangling DNS record, 簡稱Dare)，這類DNS記錄指向的資源無效，但記錄本身尚未從DNS清除，攻擊者可以藉此實現DNS劫持。作者通過大規模的測量確認了Dare的安全問題在現實中是普遍存在的。

利用這些Dares，攻擊者可以完全控制（子）域，甚至可以成功從CA申請證書。作者指出，可利用的Dares的根本原因是缺乏對DNS記錄所指的資源的真實性檢查。最後，論文提出三種有效地減輕DARE的防禦機制。

0x02.正文重點

DNS記錄類型有40多種，如果域名所有者遺棄的資源可以被以外的人操縱，則這類Dare不安全。文章認為A、CNAME、MX和NS這4類DNS記錄是安全敏感的，如果存在Dare就可能被利用。

作者採集了Alexa排名前100萬的二級域名及其若干子域名作為數據集，測量其中是否存在Dare問題，並檢查這些域名是否屬於雲中的IP地址、被遺棄的服務和過期域名三種情況。

通過檢測IP地址是否可達能夠檢查A記錄是否已經懸空，而如果這些IP地址在雲平台的地址池中，就可能被他人申請並利用。為此作者設計了IPScouter工具，能夠從找出Amazon EC2和Microsoft Azure雲中可申請的IP地址，以驗證這個風險是真實存在的。IPScouter通過申請雲中的IP地址並快速釋放以控制成本，可做到每天在EC2上只花費0.07美元，Azure為0.005美元。

第三方服務的Dare問題是由於CNAME記錄引入的。以申請Shopify網店為例，申請之後會分配相應的子域名給用戶，用戶可以把自己的域名通過CNAME記錄指向網店，但實際上Shopify會通過泛域名解析把所有的網店域都指向同一個域名。用戶需要向Shopify聲明自己網店使用了哪個域名，然而出於成本的原因並不會嚴格檢查域名所有權。當這個網店關閉時，如果CNAME記錄未及時刪除，惡意用戶就可以聲稱它的域名是自己的，從而造成安全威脅。Github、WordPress、MailGun等許多熱門第三方服務都存在這種問題。

域名過期造成的Dare問題與以往的研究的區別在於，它利用的是CNAME、MX或者NS記錄所指向的域名已經過期，而原域名還是並沒有過期，因此它並沒不是利用人們對過期域名的信任，而是利用了指向過期域名的未過期域名的信任。這種問題更容易被人所忽視，而存在的風險卻更大。

Dare可造成多種安全威脅：一是被用於網路詐騙和網路釣魚，由於使用的是合法的域名，比使用相似域名更具欺騙性而且不易防範。二是用於Cookie竊取，不需要監控流量、不需要XSS漏洞，並且可以無視添加HttpOnly或者Secure標誌等防竊取機制，主動搜集Cookie。三是電子郵件欺詐，通過MX記錄的Dare可搭建郵件伺服器收發相應域名的郵件，能夠繞過反垃圾郵件機制，還能仿冒他人身份發送郵件。四是偽造SSL證書，利用Let『s Encryp等CA的自動化簽名認證機制（如在被簽名的域下配置HTTP資源），可成功申請存在DARE問題的域名證書。

測量結果表明，Dare威脅是廣泛存在的。為緩解Dare安全風險，論文提出了三種機制：

IP地址驗證
打斷第三方服務解析鏈
定期檢查過期的域

0x03. 體會

在試用Amazon EC2的過程中我也曾發現停用虛擬機可能造成域名指向的IP地址可能被別人申請到，可能存在一些風險，但並沒有深究到底會造成哪些風險，因此失去了一個很好的研究機會。而事實上我發現這個問題的時候這篇論文都已經發表過了。但我幾年前就知道Amazon EC2有提供1年免費試用，卻遲遲沒有去用，這也是與這項研究擦肩而過的另一原因。所以多嘗試新鮮事物，發現問題不要輕易放過，這是開拓研究新思路的好習慣，與諸位共勉。