什麼是 Dangling DNS?
要瞭解當前 DNS,您必須先瞭解 DNS 的基本知識。DNS 是一種通訊協定,可將使用者易於記憶和辨識的網域名稱 (例如 paloaltonetworks.com),轉換為數字 IP 位址。每個網域的 IP 位址都儲存在權威 DNS 伺服器中,就像網際網路的電話簿一樣。當您在瀏覽器中輸入網站位址時,瀏覽器會先連線到遞歸 DNS 伺服器,然後問「paloaltonetworks.com 的 IP 位址是什麼?」。遞歸 DNS 伺服器會傳送查詢到權威伺服器,以獲得答案。
什麼是 CNAME
儲存於 DNS 權威伺服器的常見記錄類型包括權威起始 (SOA)、IP 位址、名稱伺服器 (NS)、用於反向 DNS 查閱伺服器的指針 (PTR) 以及正名記錄 (CNAME)。
CNAME 是一種 DNS 資料庫記錄,可作為其他網域的別名,並指向一個網域而非 IP 位址。CNAME 記錄通常用於將同一組織擁有的多個網站指向一個主網站,在不同國家註冊相同的網域名稱,使每個網域都指向父網域,等等。
假設您公司的網域名稱是 supercompany[.]com,推出新的服務或產品,並建立一個新的子網域名稱 superproduct[.]supercomany[.]com。當此子網域設定為大家都認可的父網域別名時,子網域 superproduct[.]supercomany[.]com,將有一個 CNAME 記錄指向 supercompany[.]com。
懸空 DNS
當 DNS 記錄將網域名稱指向其他網域時,當一個網域被放棄時,該 DNS 記錄就會懸空,現在稱為懸空 DNS 記錄。由於是棄用的網域,威脅行為者可以輕易搶用此網域,並藉此取得進入網路的初始權限。攻擊者經常使用此 Dangling DNS 技術進行網路釣魚和其他社會工程攻擊。舉例來說,superproduct.supercomany.com 指向其他網域,例如 superproduct.com,或外部主機或 IP,例如 compute1234.amazonaws.com,公司遷離 superproduct.com 或託管該名稱的計算節點,但他們忘記 CNAME superproduct.supercomany.com 仍指向過期的網域或外部主機名稱/IP。這表示主網域 supercomany.com 已成為攻擊者寄存惡意網站的首選。駭客可以在 SSL 憑證上安裝 superproduct.supercomany.com,然後以犧牲公司聲譽為代價,傳送惡意內容。
若要瞭解 Palo Alto Networks 的 DNS 安全性,請造訪 https://www.paloaltonetworks.tw/network-security/advanced-dns-security。如需 Dangling DNS 的詳細資訊,請閱讀我們的部落格: Dangling Domains:安全威脅、偵測與普遍性。
懸而未決的 DNS 常見問題
