描述
敌人发送恶意(“NXDOMAIN”(“没有这样的域”)代码,或DNS记录)目标的路由请求的响应在一个合理的解析器。这种技术需要一个路径有关或在路径设备,可以监控和应对目标的DNS请求。这种攻击与边界网关协议篡改的不同之处在于,它直接响应请求的目标而不是污染路由目标的基础设施使用。
先决条件
技能要求
缓解措施
设计:避免DNS的依赖 |
设计:包括“主机文件/应用程序中的IP地址 |
实现:利用.onion域Tor的支持 |
法案同样实现:域名系统安全扩展 |
实现:DNS-hold-open |
例子,实例
Below-Recursive DNS中毒:当一个设备上/在路径之间的递归域名服务器和一个用户发送一个恶意的(“NXDOMAIN”(“没有这样的域”)代码,或DNS记录)响应一个合理的解析器之前。 |
Above-Recursive DNS中毒:当一个/在路径设备之间的一个权威服务器上(例如,政府性)和递归域名服务器发送一个恶意的(“NXDOMAIN”(“没有这样的域”)代码,或DNS记录)响应一个合理的解析器之前。 |
引用
[ref - 477]约翰·保罗Verkamp Minaxi Gupta。“世界各地的网络审查的推断力学”。USENIX。2012年。 |
(ref - 479)匿名。“走向全面的防火墙的DNS审查”。USENIX。2014年。 |
内容的历史
提交 |
提交日期 |
提交者 |
组织 |
2017-01-04
(版本2.8) |
谢 |
|
|
修改 |
修改日期 |
修饰符 |
组织 |
2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
更新Related_Attack_Patterns |
2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
更新Related_Attack_Patterns |
2023-01-24
(版本3.9) |
CAPEC内容团队 |
manbetx客户端首页 |
更新描述 |
|