CAPEC - CAPEC - 142: DNS缓存中毒(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 142: DNS缓存中毒(版本3.9)

capec - 142: DNS缓存中毒

攻击模式ID: 142

抽象:详细的

视图定制的信息:

描述

域名服务器域名(比如www.example.com)转换为一个IP地址,互联网主机使用接触互联网资源。敌人修改公共DNS缓存导致某些名字解决对手指定了错误的地址。结果是,客户端应用程序依赖目标缓存域名解析将被引导不指定的域名的实际地址,但其他地址。对手可以使用此群客户受害者的计算机上安装恶意软件的网站或冒充嫁接攻击的一部分。

攻击的可能性

高

典型的严重性

高

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	141年	缓存中毒
CanPrecede	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	89年	嫁接

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件
机制的攻击	操作系统资源

执行流程

探索

探索解析器缓存:检查DNS缓存本地DNS服务器和客户机的浏览器启用了DNS缓存。

技术
运行工具,检查解析器缓存内存中是否包含一个目标DNS条目。
看看客户的浏览器启用了DNS缓存。

实验

尝试向DNS缓存的记录:一个请求发送到目标网站的权威服务器并等待迭代名称解析器。敌人发送虚假请求DNS本地服务器,然后洪水响应技巧DNS缓存记得恶意回应,错误答案的DNS查询。

技术
对手必须知道事务ID通过拦截一个DNS查询,或发送虚假的查询与已知的事务ID。
如果事务ID用于标识每个查询实例是随机在一些新的DNS软件,攻击必须猜事务ID。真正的DNS服务器的响应缓慢导致拒绝服务。这给了对手足够的时间猜事务
对手工艺品DNS与相同的事务ID请求的响应。之前的对手发出DNS反应授权DNS服务器。这迫使DNS本地缓存存储假DNS响应(错误的答案)。假DNS反应通常包括一个恶意网站的IP地址。

利用

将用户重定向到恶意网站:对手成功地利用该漏洞,受害者连接到一个恶意网站使用一个好的网站的域名。

技术
将网络流量的网站看起来足够像原始,没有提高任何猜疑。
Adversary-in-the-Middle (capec - 94)拦截两党之间的安全通信。

先决条件

DNS缓存必须容易受到一些攻击,让对手更换地址的查找表。客户端应用程序必须信任损坏兑现价值和利用他们的域名决议。

技能要求

(级别:中等)

覆盖目标/修改DNS缓存

所需资源

敌人必须修改目标缓存的资源。此外,在大多数情况下,对手将希望主机站点,用户将被重定向,虽然在某些情况下,重定向到一个第三方网站将实现对手的目标。

缓解措施

配置:确保你的DNS服务器已经更新到最新版本

配置:UNIX服务,比如远程登录命令,rsh / rcp xhost, nfs都容易被关押在一个缓存的信息都是错的。应该小心使用这些服务,所以他们不依赖DNS缓存已经暴露在互联网上。

客户端配置:禁用DNS缓存。

例子,实例

在这个例子中,敌人将请求发送到本地DNS服务器查找www.example com。相关联的IP地址www.example.com 1.3.5.7。

通常本地DNS缓存IP地址和每次都不要去偏远的DNS。由于当地没有找到记录,DNS服务器试图连接到远程DNS查询。然而,在远程DNS返回正确的IP地址1.3.5.7,敌人洪水2.4.6.8本地DNS的反应与IP地址。结果是,2.4.6.8存储在DNS缓存。与此同时,2.4.6.8关联到一个恶意网站www.maliciousexampsle.com

当用户连接到www.example.com,本地DNS将直接到www.maliciousexample.com,这是一个嫁接攻击的一部分。

相关的弱点

一个相关的弱点将一个弱点与这种攻击模式的关系。各协会意味着必须存在一个弱点,对于一个给定的攻击才能成功。如果多个缺陷相关的攻击模式,那么任何的弱点(但不是全部)可能存在的攻击才能成功。每一个相关的弱点是由CWE标识符。

CWE-ID	疲软的名字
348年	使用更少的可信来源
345年	验证数据的真实性不足
349年	接受外来的不可信的数据和可信的数据
346年	起源验证错误
350年	依赖反向DNS解析强调安全的行动

分类法映射

CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。

相关ATT&CK分类法映射(也看到父)

条目ID	条目名称
1584.002	妥协的基础设施:DNS服务器

引用

[REF-22]“维基百科”。DNS缓存中毒。维基媒体基金会有限公司<http://en.wikipedia.org/wiki/DNS_cache_poisoning>。

[REF-23]“DNS威胁和DNS的弱点”。DNS域名系统的威胁和弱点。DNSSEC。<http://www.dnssec.net/dns-threats.php>。

[REF-27]“脆弱性注意VU # 800113”。我们CERT。2008-07-08。<http://www.kb.cert.org/vuls/id/800113帕特>。

内容的历史

提交
提交日期	提交者	组织
2014-06-23 (版本2.6)	CAPEC内容团队	manbetx客户端首页
2014-06-23 (版本2.6)
修改
修改日期	修饰符	组织
2017-01-09 (版本2.9)	CAPEC内容团队	manbetx客户端首页
2017-01-09 (版本2.9)	更新Related_Attack_Patterns
2017-08-04 (版本2.11)	CAPEC内容团队	manbetx客户端首页
2017-08-04 (版本2.11)	更新Attack_Phases Attack_Prerequisites,描述总结,Examples-Instances Payload_Activation_Impact, Related_Vulnerabilities Resources_Required
2021-06-24 (版本3.5)	CAPEC内容团队	manbetx客户端首页
2021-06-24 (版本3.5)	更新Execution_Flow
2022-09-29 (版本3.8)	CAPEC内容团队	manbetx客户端首页
2022-09-29 (版本3.8)	更新Related_Weaknesses Taxonomy_Mappings

更多的信息是可用的,请选择一个不同的过滤器。

页面最后更新或审查:2021年10月21日


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

capec - 142: DNS缓存中毒