这个人是怎样伪造的DNS响应来绕开Detectify验证域名

无需加好友免费技术支持

译员：testvul_001

预计稿酬：120RMB

递交方法：将发送邮件至linwei#360.cn，或登录网页版在线投稿

序言：

我们自己的讲座时尚博主和Detectify网络黑客的众包平台精英团队Evgeny Morozov本文表述这个人是怎样伪造的DNS响应来绕开Detectify验证域名使用权。特别感谢。Evgeny众包平台团队里会有这样的科学研究学者十分骄傲。

当客户必须使用中Detectify在扫描仪网址时，我们应该最先验证他对于域名的使用权（绝大多数在线扫描都有这样的验证）。其中一种验证方法是什么DNS的TXT纪录中加入Detectify所提供的字符串数组。当客户点一下验证时，Detectify会实行一个DNS查验确定是否存在验证字符串数组。一起来看看验证一个你没所拥有的域名会有什么。

DNS 伪造环境

DNS查询响应一般是由UDP因而，协议书传送IP伪造详细地址能让查看顾客觉得网络攻击上传的详细地址DNS响应来源于正常的DNS服务器。自然，手机客户端只能接纳很明显的响应，下列新项目务必符合规定：

1、源IP地址（DNS服务器）

2、目地IP地址（DNS手机客户端）

3、源端口（DNS服务器-一般是53

4、目地端口（DNS手机客户端）-DNS要求的源端口

5、Transaction ID- 顾客产生的16 bit数据

6、Questions-实质上是复制DNS查看要求

服务器ip、端口和目地IP都已经知道，DNS “question能够猜想，还可以从网络攻击能够浏览的区域拷贝真正查看。现阶段唯一不确定性的是目地端口和Transaction ID了。

九年前许多DNS手机客户端修补能够预测分析源端口和Transaction ID的漏洞。猜想一个16bit数是彻底切实可行的——所以只有65536种概率，网络攻击能够真实存在DNS响应抵达前给DNS客服端推送数千个假响应包。2008年的7月Dan Kaminsky公布了这种情况。接着DNS维护保养方应用彻底任意日常维护方Transaction ID这种情况要用端口修复。所以这样的进攻早已落伍了，是这样的吗？

根据验证

为了防止得到缓存文件，我有一种预感，Detectify会实行自已的DNS查看不单单是应用系统软件DNS数据分析工具。真是如此的话，它依然很有可能应用可预测Transaction ID跟小区域范围源端口。

我已通过检测dnsmasq给我掌控的域名创建一个简单的域名网络服务器Detectify验证时抓了好多次包。Wireshark开启抓包软件，不难发现来源于scanner.detectify.com的dns查询要求。源端看上去充足任意，可是Transaction ID有问题吗？

简易！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

Transaction ID一直都是0，我现在精确知道Detectify发出DNS因而，伪造正确查看DNS唯一的响应关键是源端口。

POC

虽然我现在能够汇报漏洞了，但我想保证这是可利用的。基础理论漏洞与可以用漏洞不一样。

使我们尝试验证example.com。造就伪造DNS响应payload非常简单:先用tcpdump把握住真正响应，随后手动式变更域名。Nping该专用工具适合于推送响应并伪造初始地址信息端口：

以上指令尝试尽早推送伪造DNS响应给scanner.detectify.com，它宣称来源于199.43.133.53（example.com真正域名网络服务器)，设定的源端口范围包括3万到3999。下边能做的就是在我的笔记本上运作以上指令，并且在本子上运作以上指令Detectify疯狂点击网站上的验证按键。

因为现在一切ISP大数据中心将过虑出入口伪造的数据文件，以避免他们背叛自己网络的，并有非常好的原因。伪造数据文件最常见主要用途是DDOS尤其是进攻DNS反射面变大进攻。因而，我需要一个没法过虑的服务器，战机和受害人间的延迟时间务必尽量低，以提升伪造响应在真正响应以前抵达的几率。

怎样找到那样到这种服务器做为训练。但是现在我能自豪地说，我已是六个服务器真正的主人了，虽然在其中五个并没有生鸡蛋（庆幸的是，它们都非常便宜）。疯狂点击Detectify在网站验证按键后，我们终于获得了下列提醒：

通过了！

汇总：

Detectify漏洞在报告后三小时内修补。