 描述
敌人发送恶意(“NXDOMAIN”(“没有这样的域”)代码,或DNS记录)目标的路由请求的响应在一个合理的解析器。这种技术需要一个路径有关或在路径设备,可以监控和应对目标的DNS请求。这种攻击与边界网关协议篡改的不同之处在于,它直接响应请求的目标而不是污染路由目标的基础设施使用。
先决条件
技能要求
缓解措施
| 设计:避免DNS的依赖 |
| 设计:包括“主机文件/应用程序中的IP地址 |
| 实现:利用.onion域Tor的支持 |
| 法案同样实现:域名系统安全扩展 |
| 实现:DNS-hold-open |
例子,实例
| Below-Recursive DNS中毒:当一个设备上/在路径之间的递归域名服务器和一个用户发送一个恶意的(“NXDOMAIN”(“没有这样的域”)代码,或DNS记录)响应一个合理的解析器之前。 |
| Above-Recursive DNS中毒:当一个/在路径设备之间的一个权威服务器上(例如,政府性)和递归域名服务器发送一个恶意的(“NXDOMAIN”(“没有这样的域”)代码,或DNS记录)响应一个合理的解析器之前。 |
引用
|
[ref - 477]约翰·保罗Verkamp Minaxi Gupta。“世界各地的网络审查的推断力学”。USENIX。2012年。 |
|
(ref - 479)匿名。“走向全面的防火墙的DNS审查”。USENIX。2014年。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2017-01-04
(版本2.8) |
谢 |
|
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2023-01-24
(版本3.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述 |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
