Dangling DNS 是由域名系统(DNS)中的漏洞引起的一个关键问题,DNS 是一个用于在互联网上定位资源的分散系统。通过将人类可读的域名(如 google.com)转换为机器可读的 IP 地址(如 101.102.25.22),DNS 可确保无缝连接。
可以把它想象成电话号码簿,将名称与号码联系起来,以便于访问。然而,当出现 DNS 配置错误时,可能会导致 DNS 记录悬空--指向不存在或已停用资源的条目--使域面临重大安全风险。解决这些问题对于维护安全的在线存在至关重要。
主要收获
- 悬空的 DNS 记录指向不存在或无法访问的资源,使其容易被利用。
- 常见原因包括 DNS 配置错误、云资源过期、IP 过时和服务中止。
- 悬空的 DNS 记录可导致子域接管攻击,使攻击者能够提供恶意内容。
- DMARC、SPF、TLS-RPT 和 DKIM CNAME 等电子邮件验证记录尤其面临风险。
- 人工检测包括审核 DNS 记录、验证配置和识别孤儿服务。
- DNS 监控系统等自动化工具可简化检测并减少错误。
- PowerDMARC提供 DNS 监控、自动子域检测和免费的 PowerAnalyzer 工具,用于检查错误配置。
什么是悬挂 DNS 记录?
悬空 DNS 记录是指向不复存在或无法访问的资源的 DNS 条目。由于这类 DNS 条目容易造成信息泄露,因此互联网上的网络犯罪分子总是在寻找这类 DNS 条目。其中一些条目可能包含有关域的敏感信息,成为威胁行为者从中获益的数据金矿。
导致 DNS 悬空的常见情况
- DNS 配置错误
域名系统与我们要交互的互联网资源是分开配置的。添加到 DNS 的 DNS 记录指向这些资源,帮助我们访问它们。在某些情况下,先前配置的资源可能会被其主机取消配置。例如,域名所有者配置的 DNS 记录指向一个服务器的 IP。现在该服务器已不再使用。DNS 记录现在指向的资源已不存在,因此可称为 "悬挂 DNS "条目。
- 过期或删除的云资源
如果域名所有者使用的云服务过期或被删除,指向该服务的任何 DNS 记录都会变成 Danglish DNS 记录。该 DNS 记录仍处于活动状态,任何攻击者都可以使用该资源提供恶意内容。
- 废弃的 IP
一家公司可以将服务迁移到新的提供商,而以前的 IP 将被淘汰。然而,他却忘记更新或删除旧的 DNS 记录。这些旧记录很容易受到子域接管攻击,并很容易被利用。
- 服务退役或中止
电子邮件服务器、托管账户或第三方服务提供商已停用或退役,但 MX、A 和 CNAME 等 DNS 记录仍处于活动状态并已配置。攻击者可以利用这些活动的悬停 DNS 记录来冒充已停用的服务。
悬空 DNS 记录的风险
隐藏的DNS 漏洞(如 Dangling DNS)可能会导致域名利用和网络威胁。
什么是子域接管攻击?
当攻击者检测到一个指向解构资源的悬空的DNS记录时,他立即抓住了这个机会。攻击者接管了悬空的DNS记录所指向的(子)域,从而将整个流量路由到一个攻击者控制的域,并完全访问该域的内容和资源。
你的域名/子域名被攻击者劫持的后续影响。
一个被解构的域名或服务器可能成为攻击者操纵的恶意资源的滋生地,而域名所有者却无法控制。这意味着,攻击者可以完全行使对域名的支配权,以运行非法服务,对毫无戒心的受害者发起网络钓鱼活动,并在市场上恶意诋毁你的组织的良好声誉。
您的 DNS 记录是否有悬空的风险?
答案是肯定的。以下电子邮件认证记录可能会受到DNS悬空问题的影响。
电子邮件验证协议,如 DMARC是通过在 DNS 中添加 TXT 记录来配置的。除了为域名的电子邮件配置策略外,您还可以利用 DMARC 启用报告机制,向您发送有关域名、供应商和电子邮件来源的大量信息。
- SPF 记录
另一种常用的电子邮件源验证系统、 SPF作为 TXT 记录存在于您的 DNS 中,其中包含您的电子邮件的授权发送源列表。
- TLS-RPT
SMTP TLS 报告 (TLS-RPT) 是一种额外的报告机制,与MTA-STS一起配置,以 JSON 报告的形式向域名所有者发送通知,说明由于两个通信电子邮件服务器之间的 TLS 加密失败而导致的可送达性问题。
- DKIM CNAME 记录
CNAME记录创建域名别名,将一个域名指向另一个域名。你可以使用CNAME将一个子域指向另一个包含与该子域有关的所有信息和配置的域。
例如,子域 mail.domain.com是 CNAME info.domain.com.因此,当服务器查找 mail.domain.com时,它将被路由到 info.domain.com.
您的 DKIM验证系统通常作为CNAME 记录添加到 DNS 中。
这些条目中的每一条都包含了关于你的组织域、电子邮件数据、IP地址和电子邮件发送源的宝贵信息。你可能经常忽略的语法错误会导致悬空的记录,而这些记录可能在很长一段时间内都不会被发现。一个被主机停用的域名,如果有DKIM CNAME或SPF记录指向它,也可能导致同样的问题。
注意:需要注意的是 MX、NS、A 和 AAA 记录也容易受到悬停 DNS 问题的影响。. 在本文中,我们只介绍了有这些影响的电子邮件验证记录,并提供了如何修复这些记录的解决方案。
如何查找悬挂的 DNS 记录?
识别指向新生阶段未配置资源的 DNS 记录有助于保护您的品牌。您可以通过手动和自动两种方式来实现这一目标。
1.手动悬挂 DNS 检测
人工审核虽然耗时,但有助于发现过时的 DNS 记录:
- 审核 DNS 条目:对照环境中的活动资源,交叉检查 DNS 管理系统中的所有 DNS 记录。查找指向不存在的服务或 IP 的条目。
- 验证 DNS 配置:使用以下工具 nslookup或 dig等工具查询每条记录,验证相应资源是否已配置并处于活动状态。
- 检查无主服务:调查第三方托管、云平台或 CDN 提供商等服务,这些服务可能已被终止,但未删除相关 DNS 条目。
虽然手动方法很彻底,但容易出现人为错误,而且对于 DNS 配置庞大或复杂的域来说,可能会变得难以管理。
2.自动悬挂 DNS 检测
在这种情况下,DNS 监控工具就显得非常有用。将其视为域名和子域的花名册,即一个平台,以有组织的方式汇集与之相关的所有数据,便于随时监控。
PowerDMARC就能做到这一点。当您注册我们的域名监控工具时,我们将为您提供访问自定义仪表板的权限,该仪表板将汇集您注册的所有根域名。我们的全新功能现在可以为用户自动添加系统检测到的子域,用户甚至无需进行手动注册。
免费检查您的域名记录!
如果您不想使用全时域名监控服务,您可以 检查您的域名借助我们的 PowerAnalyzer 工具。这是免费的!输入您的域名并点击 "立即检查 "后,您就可以查看所有 DNS 记录配置以及任何检测到的错误配置,并提示如何快速解决这些问题。
- 如何修复 550 SPF 检查失败?[已解决]- 2025 年 1 月 7 日
- DNS 漏洞:五大威胁与缓解策略- 2025 年 1 月 1 日
- 如何修复 "DKIM 签名无效 "错误?- 2024 年 12 月 24 日