iT邦幫忙

0

太神奇了~請問這是怎麼做到的? 任意一個Domain name 都可以在DNS裡找到對應位置

  • 分享至 

  • xImage

太神奇了~請問這是怎麼做到的? 任意一個Domain name 都可以在DNS裡找到對應位置

因為某個資安因素,想要去追查 nerrasssy.eu結尾的位置
但追查.eu 的註冊單位 http://www.eurid.eu/,nerrasssy.eu 確實已經被註冊過了(2009/10/14 註冊22:47更新),但是資料看起都是假造的

但這個資安因素,有興趣請連上這個網誌 看看
除了對企業資安造成問題外,對於企業的IT人員形象更是有極大的傷害

基於個人的柯南精神,去找尋網站來源,發現這個狀況,在此請教各位前輩怎麼去解釋這個現象
網址/網頁redirect轉址的手法我知道,但任意一個Domain name 都可以在DNS裡找到對應位置,DNS也可以這樣子騙嗎?

===========分隔線=================
測試方法
===========分隔線=================
使用nslookup指令來找DNS對應IP Address
使用中X電信的DNS server 來解析
輸入任意字串加上nerrasssy.eu結尾的Domain name,都可得到一大串回覆IP address

> a.nerrasssy.eu
Server:  dns.hinet.net
Address:  168.95.1.1

Name:    a.nerrasssy.eu
Addresses:  218.209.20.19, 77.124.33.174, 110.13.135.245, 112.72.166.3,114.37.101.86, 121.149.167.20, 124.121.41.198,190.137.190.251, 190.160.9.94,200.83.234.22,200.127.92.94, 201.0.38.97, 201.222.203.116, 211.195.69.204,218.161.53.201

> b.nerrasssy.eu
Server:  dns.hinet.net
Address:  168.95.1.1

Name:    b.nerrasssy.eu
Addresses:  218.209.20.19, 77.124.33.174, 110.13.135.245, 112.72.166.3,114.37.101.86, 121.149.167.20, 124.121.41.198, 190.137.190.251, 190.160.9.94,200.83.234.22, 200.127.92.94,201.0.38.97,201.222.203.116, 211.195.69.204,218.161.53.201

> c.nerrasssy.eu
Server:  dns.hinet.net
Address:  168.95.1.1

Name:    c.nerrasssy.eu
Addresses:  190.160.9.94, 200.83.234.22, 200.127.92.94, 201.0.38.97,201.222.203.116, 211.195.69.204, 218.161.53.201,218.209.20.19, 77.124.33.174,110.13.135.245,112.72.166.3, 114.37.101.86, 121.149.167.20, 124.121.41.198,190.137.190.251

> xxx.nerrasssy.eu
Server:  dns.hinet.net
Address:  168.95.1.1

Name:    xxx.nerrasssy.eu
Addresses:  77.124.33.174, 110.13.135.245, 121.162.21.166, 124.121.41.198,190.95.7.74, 190.160.9.94, 200.86.159.210, 200.127.92.94, 201.222.203.116,211.195.69.204, 211.225.240.192, 218.161.53.201, 218.165.217.216, 218.209.20.19,221.157.184.47
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

24
逮丸逮丸
iT邦大師 1 級 ‧ 2009-10-15 12:42:47
最佳解答

這用到了兩部份的功能:
一是 DNS wildcards,請參閱:
http://en.wikipedia.org/wiki/Wildcard_DNS_record
而可以查詢 *.nerrasssy.eu 都有任何回應。

二是 Round Robin DNS的功能,可參閱:
http://hell.org.ua/Docs/oreilly/tcpip2/dns/ch10_07.htm
http://www.zytrax.com/books/dns/ch9/rr.html
就是一筆host綁多個IP指向,來負載平衡。

而這網域是 DNS wildcards + Round Robin
類似這樣子設,就可以達到所見效果。

<pre class="c" name="code">*.nerrasssy.eu.    IN      A       190.160.9.94
*.nerrasssy.eu.    IN      A       201.0.38.97
*.nerrasssy.eu.    IN      A       110.13.135.245
看更多先前的回應...收起先前的回應...

奇怪,板主的問題,我查不到。

cklin iT邦新手 2 級 ‧ 2009-10-15 18:36:17 檢舉

有啦~
請依照下列步驟進行
1.打開Dos command 視窗,輸入 nslookup 指令
2.輸入 server dns.hinet.net 將DNS查詢主機改到中X電信
3.請輸入XXXX.nerrasssy.eu 查詢IP位址
XXXX為任意字串,例如 bigcandy.nerrasssy.eu
tsmc.com.nerrasssy.eu

這個釣魚網站越來越誇張了,註冊好幾個 Domain
.nerrassst.eu
.nerrasssu.eu
.nerrasssw.eu

cklin iT邦新手 2 級 ‧ 2009-10-15 18:40:13 檢舉

ㄟ~~ 好像有人注意到這個問題了,現在已經查不到了
感謝IT邦幫忙這個平台,總算有人注意到這個問題

nerrasssy.eu
Server: dns.hinet.net
Address: 168.95.1.1
*** dns.hinet.net can't find nerrasssy.eu: Non-existent domain

還有,台灣網路危機處理中心TWCERT 網頁 好像掛了,有人注意到了嗎?
在緊急狀況中竟然找不到救生圈 :(

bestken iT邦新手 1 級 ‧ 2009-10-16 10:56:38 檢舉

學到了~感恩!

cklin iT邦新手 2 級 ‧ 2009-10-27 15:11:28 檢舉

對啦~就是這答案 DNS wildcards
以前在看DNS Bible 時,覺得這東東實際應用面用不到,就直接跳過不看
沒想到真的遇到了~

我要發表回答

立即登入回答