CTO练习营 | 12月3-5日,深圳,是时刻成为优良的技巧治理者了
去往AmazonProvidedDNS的流量都是绑定到AWS治理基本架构的流量,它们既不会经由过程与标准客户流量雷同的收集链接流出,也不会进行响应的安然组检测。
进击者可以经由过程DNS渗漏技巧绕过防火墙的出站规矩,然后仅经由过程DNS协定就能对外泄漏数据或完成批示和控制晃荡。在这种情况下,如不雅AWS治理的DNS基本举措措施未被禁用,甚至可以经由过程DNS渗漏技巧大年夜隔离的VPC中泄漏数据。
客户可以经由过程VPC(默认启用)应用AWS的DNS基本举措措施。流向AmazonProvidedDNS的流量是绑定到AWS治理基本架构的流量,它们既不会经由过程与标准客户流量雷同的收集链接流出,也不会进行响应的安然组检测。应用DNS渗漏技巧,可以将数据大年夜隔离的收集中泄漏出去。
要懂得DNS渗漏技巧的运行机制,起首须要懂得DNS是若何工作的。如不雅您已经对其道理异常熟悉的话,请点击此处跳至下一节。
在很多组织中,防火墙平日会壅塞端口53(DNS)的出站流量,并且应用内部DNS办事器来解析外部域名。内部DNS办事器平日会将端口53出站端口向更高等其余DNS办事器开放,以便解析内部DNS办事器无法解析的域名。让我们来看一下DNS办事器第一次碰到域名“yo.dejandayoff.com”时是若何处理的。
计算机起首向内部DNS办事器发出请求,以查找yo.dejandayoff.com。
DNS办事器必鼓起首解析顶级域名“.com”的地位。为此,该DNS办事器将向根办事器请求.COM DNS办事器。
因为我们正在查找的域名是yo.dejandayoff.com,所以DNS办事器须要找到dejandayoff.com域名办事器的地位。一旦找到域名办事器,该DNS办事器就发出一个请求,萌芽yo.dejandayoff.com的相干记录。该DNS办事器应用IP响应客户端。
留意:可能还涉及到其他的DNS办事器(比如你的ISP的DNS办事器和上游的DNS办事器)
DNS渗漏技巧的工作道理
为了证实这一点,我们假设一个对公司不满的内部员工欲望大年夜无法拜访外部互联网的临盆收集中泄漏出数千个信用卡号码。为了达到这个目标,一种选择是应用DNS渗漏技巧,如许就可以把信用卡号码掺入到域名查找请求之中,大年夜而实现了数据渗漏。例如:
- 4012888888881881.123.0808.visa.yo.dejandayoff.com
当内部DNS办事器设备为将外部请求转发到上游DNS办事器时,就可能会产生DNS渗漏。默认情况下,AWS许可在所有VPC中应用预设备的DNS基本举措措施(名为AmazonProvidedDNS)。进击者可以应用这个通道在许可的情况之外的办事器上发送和吸法术据。为了降低这种风险,AWS客户可以应用本身的DNS办事器,同时封闭预设备的AmazonProvidedDNS。
设置好情况后,我在一个零丁的VPC中创建了另一个办事器来运行iodine办事。接下来,专用办事器将应用其iodine客户端连接到办事器:
当负责解析yo.dejandayoff.com的域名办事器收到这个请求时,它可以该记录请求,然后用一个随机的IP来响应当请求。进击者甚至可以在每个请求中包含多个信用卡号码,或者先对数据进行紧缩,然后发送紧缩后的数据,以尽量削减必须发送的请求数量。然则,无论采取哪种办法,进击者都可以经由过程内部DNS办事器解析外部域名来实现双向通信。
当然,实现这个目标的办法有很多,比如进击者可以创建一个只经由过程DNS进行通信的本地的http代劳,或者应用一个本地收集接口,经由过程DNS地道传输所有类型的流量。事实上,有一个对象就是专门为此而生的!
进击者如安在AWS中应用这种技巧?
DNS渗漏绝早就不是一个新概念了,同时,响应的解决筹划也不是想象中的那么简单。在非AWS情况中,一个解决筹划是阻拦所有出站DNS连接(如不雅您不关怀可用性的话)。另一个解决筹划是将许可解析的域名列入白名单。最简单的缓解控制办法是监督DNS日记的异常情况(域名解析请求的频率、大年夜小等)
对于AWS来说,可以经由过程在每个子网平分派一个IP来应用AmazonProvidedDNS,以简化基本举措措施的构建过程(http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets。HTML#VPC_Sizing)。治理员只能启用和禁用每个子网中的DNS基本举措措施。我们知道,VPC流量日记文档不会记录治理流量,而AmazonProvidedDNS发出的请求属于治理流量,所以,它既不会经由过程与标准客户流量雷同的收集链接出站,也不会进行响应的安然组检测。以下是创建VPC时的默认DNS设备及其设置的快照:
平日情况下,为了在AWS中建立一个出站连接,须要:
TL;DR
一个达到Internet网关或NAT设备的路由
一个许可在该端口长进行出站通信的安然组
然则,应用上述办法,进击者可以经由过程应用AmazonProvidedDNS绕过这些限制。为了演示这个马脚,我创建了一个带有公共子网和私有子网的收集。公共子网独一的用处是可以或许经由过程ssh进入私有子网(Bastion主机)。公共子网确切有一个互联网网关(以便利经由过程ssh进入Bastion主机)。私有子网不包含互联网网关或NAT(只有DNS IP,在默认情况下,Amazon会在所有子网中开放该IP)。在私有子网中的主机上的安然组的设备只许可与Bastion主机建立SSH,并且绝对不许可出站连接。这个收集构造如下所示:
推荐阅读
如今测试指标和网站样本都选好了,可以开端运行测试了。 CTO练习营 | 12月3-5日,深圳,是时刻成为优良的技巧治理者了 比较浏览器机能的通用办法比来我在Macbook Pro(13版Macbook Pro 2017,>>>详细阅读
地址:http://www.17bianji.com/lsqh/39470.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示