任何方式,我可以纠正我们的域名的DNS欺骗

今天早上,我发现我们的域名和子域名在4.2.2和4.2.2.1 DNS服务器以及其他我认为是中毒的,尽pipe我还没有确认其他域名。 使用OpenDNSparsing正常工作。 我已经更新了我们的本地DNS服务器,并清除了内部已修复内容的caching。

问题在于,该领域是面向公众的,客户也有问题。 我们是域名的权威DNS服务器,所有这一切都在我们的控制之下。 我不知道该怎么做的是修复名称服务器不受我们的控制。

我们能做些什么来达到目的? 目前我唯一能想到的解决方法是要求客户把他们的DNS改为OpenDNS,这是不实际的。 另一个解决方法是改变我们的TLD,这是不太实际的。

听起来你需要实现DNSSEC 。

由于您没有提供有关您的设置的许多细节,因此很难推荐一个软件解决scheme,但是使用您当前的设置searchDNSSEC应该会为您提供一些关于如何执行该操作的很好的教程。

你确定这是一个caching中毒攻击吗?

互联网上每一个广泛使用的recursionDNS服务器早已对CVE-2008-1447进行修复,使得你所描述的那种大规模中毒几乎是不可能的。

不是完全不可能的,因为源端口随机化只是使攻击花费了2 ^ 16倍以上的成功毒药。 攻击多个具有高交易量的权威名称服务器,都在同一时间? 这是相当的壮举。 纠正我,如果我错了,但你的域名可能不够重要的互联网上成为最好的攻击目标; 具有这种能力的攻击者只需要击中google.com

更合理或可能的解释是对域的委派进行更改,而OpenDNS服务器由于caching而没有采用。 域名是否过期,或者是否有人能够访问注册服务商,对名称服务器委派设置做出不明智的更改?

更改您的TLD? 这是极端的。 你的TTL是什么? 你的那种在其他DNS服务器的怜悯下到期你的logging之前,他们的任何麻烦寻找新的,非caching,条目。 如果您将Alogging设置为一周,则没有人会在一周内看到caching的更改。 我总是把我的Alogging设置为这样的情况下的最低设置,或者使用CloudFlare,它让我在飞行中改变它们。

4.2.2.2和4.2.2.1是Level 3的networkingDNS服务器,它们并不真正被互联网使用。 因此,它们并不是整个互联网DNS基础设施的代表。 我使用DNSStuff.com做我所有的testing/查找,因为它们是非caching的结果。

另外,不用OpenDNS,inputGoogle(8.8.8.8,8.8.4.4)就更容易,不pipe你个人的信仰如何。

DNSSEC的build议太仓促了。 你冒险去解决错误的问题,并且花费相当的维护费用。

首先检查这些问题:

  • 你有什么证据certificate中毒是你的问题?
  • 你在哪个DNSparsing器看到破解的解决scheme?
    • 多个parsing器?
    • 来自不同的ISP? – >不太可能中毒
    • 他们映射哪些虚假IP? 全部都一样? – >您的权限可能存在问题
  • 什么SOA信息为您的“中毒”区域,你收到有毒的parsing器?

DNScaching中毒现在比较less见。 如果产生这种可能性微乎其微,那么你最好使用DNSCurve。 以下是它与DNSSEC的比较:

  • CurveDNS代理需要10分钟才能安装
  • 一旦安装,您的权威DNS维护是不变的
  • 你不受放大攻击的影响
  • 它实际上是由DNS用户(OpenDNS)

对于不受您控制的服务器,您无能为力。

试着了解它是如何发生的 – 现在中毒不容易,应该有一些漏洞。 检查家长NS代表团。 检查您的所有身份validation。 服务器。 联系Level3,告诉他们他们的服务器中毒 – 要求他们冲洗您的域的caching,但他们希望将调查的原因。 也许他们的服务器被攻破了,这不仅仅是你的域名。

另外,请参阅TTL。 如果是故意中毒,TTL应该是非常大的(除非Level3设置了一些最大的TTL)。 你会看到什么时候会过期,然后检查是否不会再发生。

并放在街上,让人们开始最终实施DNSSEC