什么是悬浮 DNS?
要了解悬浮 DNS,必须先了解 DNS 的基本知识。DNS 是一种将用户友好的域名(如 paloaltonetworks.com,易于记忆和识别)转换为数字 IP 地址的协议。每个域名的 IP 地址都存储在权威 DNS 服务器中,这些服务器就像互联网上的电话簿。当您在浏览器中输入网站地址时,浏览器首先会连接到递归 DNS 服务器,并询问 "paloaltonetworks.com 的 IP 地址是什么?递归 DNS 服务器向权威服务器发送查询,以获得答案。
什么是 CNAME
DNS 权威服务器中存储的常见记录类型有权威起始(SOA)、IP 地址、名称服务器(NS)、用于 DNS 反向查找的指针(PTR)和规范名称记录(CNAME)。
CNAME 是一种 DNS 数据库记录,作为另一个域的别名,指向一个域而不是 IP 地址。CNAME 记录通常用于将同一组织拥有的多个网站指向一个主网站,在不同国家注册相同的域名,使每个域名都指向父域名,等等。
假设您的公司(域名为 supercompany[.]com)推出了一项新服务或产品,并创建了一个新的子域名,名为 superproduct[.]supercomany[.]com。当这个子域被设置为大家都认识的父域的别名时,子域 superproduct[.]supercomany[.]com 将有一个指向 supercompany[.]com 的 CNAME 记录。
悬空的 DNS
虽然 DNS 记录将域名指向其他域名,但当一个域名被放弃时,该 DNS 记录就会悬空,现在称为悬空 DNS 记录。由于是废弃域名,威胁参与者很容易劫持该域名,并利用它获取进入网络的初始权限。攻击者经常使用这种悬挂 DNS 技术进行网络钓鱼和其他社会工程学攻击。例如,superproduct.supercomany.com 指向了另一个域(如 superproduct.com)或外部主机或 IP(如 compute1234.amazonaws.com),公司搬离了 superproduct.com 或托管它的计算节点,但他们忘记了 CNAME superproduct.supercomany.com 仍指向即将到期的域或外部主机名/IP。这意味着主域 supercomany.com 已成为攻击者托管恶意网站的首选。黑客可以在 SSL 证书上安装 superproduct.supercomany.com,并以公司声誉为代价传播恶意内容。
要了解 Palo Alto Networks 的 DNS 安全,请访问 https://www.paloaltonetworks.cn/network-security/advanced-dns-security。有关悬浮 DNS 的更多信息,请阅读我们的博客 " 悬浮域名":安全威胁、检测和普遍性。
悬而未决的 DNS 常见问题
