Временный DNS-спуфинг - причина и стратегия против

302
mindy10023328

Сценарий: аппаратный маршрутизатор используется для подключения сети к Интернету. Маршрутизатор использует DNS-серверы интернет-провайдера и оснащен новейшей микропрограммой (уязвимости не известны). Кеширование DNS отключено. Насколько известно, все доменные имена обычно разрешаются на знакомые IP-адреса (=> других замечаний не обнаружено).

Недавно было замечено следующее странное событие в вышеупомянутой сети:

Будучи нормальным всего несколько секунд назад, www.google.de внезапно перестал преобразовываться в IP-адрес из обычных американских и американских диапазонов IP-адресов. Вместо этого маршрутизатор возвратил реальную связку вьетнамских IP-адресов, принадлежащих одной сети / 24! Это не относится к клиентской рабочей станции, так как это можно увидеть и в файле журнала маршрутизатора. (Таким образом, причиной не может быть вредоносное ПО на клиенте.) Вывод nslookupследующий (IP-адреса подвергаются цензуре):

$ nslookup www.google.de Nicht autorisierende Antwort: Server: UnKnown Address: 192.168.yy.yy  Name: www.google.de Addresses: 2a00:1450:... 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx

Доступ к сайту в Firefox показал, что использовались странные IP-адреса, но был представлен действительный сертификат HTTPS для правильного CN!

Примерно через минуту повторная попытка показала, что разрешение DNS снова стало нормальным, и снова дала знакомые IP-адреса. Возможно, www.google.de был единственным затронутым доменным именем. www.google.com и другие проверенные имена не были затронуты. Проблема больше не может быть воспроизведена и не является постоянной.

Что Вы думаете об этом?

Был ли обманут локальный маршрутизатор или даже DNS-сервер провайдера?

Я думал о введении локального сервера DNS-кэша, который запрашивает несколько DNS-серверов и сравнивает результаты перед возвратом IP-адресов клиенту. Разумно?

1

0 ответов на вопрос

Похожие вопросы