DNS Zone Transfer 世界大揭秘

还记得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 资安议题中我们曾提到,若对全世界的网站进行 zone transfer 检测恐怕会有更多惊人的案例吗?正好 Alexa 提供了全球排名前一百万名的网站资料,我们就以这份资料为基础来做一些统计吧!

有问题的 Domain 总数与比例

79133,约佔所有受测目标的 8.014%上述 domain 的所有 zone file 共含有 22631804 笔 DNS 记录

由于在 Alexa Top 1M 中有许多资料是重複的 domain,另外也有些资料是 IP,在本次的检测当中都不列入计算,因此受测 domain 总数仅有 987447 个,而非一百万个。另外,本次扫描为求快速牺牲了部分準确率,因此实际数量应比 79133 更多。

有问题的 Top-Level Domain (TLD) 数量

全世界 TLD 总数:567受测目标的 TLD 总数:316,佔全世界总数的 55.73%有 zone transfer 问题的 TLD 总数:220,佔受测目标的 69.62%

目前 TLD 总数的数据取自于 Internet Assigned Numbers Authority (IANA),不了解 TLD 是什幺的人可以参考这篇维基百科文章。

有趣的是,连一些新的 TLD 都有 zone transfer 问题,例如 .technology、.museum 等等,可见这真的很容易被大家忽略~

关于各个 TLD 的统计数据

Transferable domain in this TLD:在特定 TLD 中,有多少 domain 可任意执行 zone transferSame TLD in Alexa top 1M:特定 TLD 在本次 987447 个受测目标中所佔的数量Percentage of same TLD in Alexa top 1M:特定 TLD 在 Alexa top 1M 内所有同样 TLD 所佔的百分比(例:.com 即为 35230 / 527203 = 6.68%)Percentage of all transferable domain:某特定 TLD 可任意执行 zone transfer 的数量在本次所有可任意执行 zone transfer 所占的百分比(例:.com 即为 35230 / 79133 = 44.52%)

由于原始数据太多,因此本文仅列出前 25 名。

 DNS Zone Transfer 世界大揭秘

.tw 网域排第二十一名,幸好这次不是世界第一了,否则又是另类的台湾之光。

关于 name server 的统计数据

Number of domain:该台 name server 有多少 domain 可任意执行 zone transfer

由于原始数据太多,因此本文仅列出前 25 名。

 DNS Zone Transfer 世界大揭秘

关于 IP 位址的统计数据

有 7939172 个不重複的 IP 位址在全部 IP 位址中,有 704638 个是私有 IP 位址在私有 IP 位址中,有 598443 个是 10. 开头,佔所有 IP 位址的 7.538%,佔私有 IP 位址的 84.929%在私有 IP 位址中,有 66270 个是 172.16~31 开头,佔所有 IP 位址的 0.835%,佔私有 IP 位址的 9.405%在私有 IP 位址中,有 39925 个是 192.168 开头,佔所有 IP 位址的 0.503%,佔私有 IP 位址的 5.666%

subdomain 的统计数据

以下选出一些常被入侵者当作攻击目标的 subdomain 来计算在 22631804 笔 DNS 记录中分别各佔了几笔,每个 subdomain 共有两个统计结果,逗号左边的统计结果代表以该 subdomain 开头的 DNS 记录,例如 git.devco.re。逗号右边的统计结果则将前后有数字的 subdomain 也一併计入,例如 dns01.devco.re、01dns.devco.re、0dns001.devco.re 等等。

版本控制git: 583, 626
gitlab: 138, 138
svn: 1552, 1669
subversion: 71, 72
cvs: 284, 330
hg: 115, 331
mercurial: 18, 19开发与测试test: 14691, 20001
dev: 8300, 10959
stage: 1329, 1628资料库db: 1190, 2537
database: 150, 302
sql: 2209, 3298
mysql: 4045, 4998
postgre: 11, 11
redis: 21, 33
mongodb: 6, 42
memcache: 13, 72
phpmyadmin: 455, 485后台管理manager: 188, 222
staff: 481, 542
member: 331, 376
backend: 153, 177线上服务相关api: 1871, 2097
search: 1469, 10987
pic: 178, 293
img: 1775, 3517
service: 779, 959
payment: 225, 238
cache: 373, 627私有服务erp: 275, 318
eip: 69, 80
log: 227, 414
nagios: 636, 736
mrtg: 458, 565
cgi: 194, 261
dns: 2634, 9085
ns: 12198, 63431
ftp: 197414, 199481
blog: 5074, 5446
mail: 238742, 254515
email: 2484, 2706
webmail: 24164, 25067
owa: 798, 888
autodiscover: 30462, 30466
vpn: 3152, 7025
sso: 398, 462
ssl: 709, 932
proxy: 1464, 2215
cms: 1320, 1696
crm: 1152, 1301
forum: 3654, 4037

按 End 的人有福了

Zone Transfer 可以做什幺?

究竟经由 zone transfer 所得到的资料可以拿来做什幺?对于攻击者而言,主要有以下三种利用方式:

建立字典档:入侵者可利用上述资料建立一份最常见的 subdomain 的字典档,未来利用此字典档进行扫描时可节省许多时间成本,快速检测某间公司有哪些 subdomain旁敲侧击:入侵者可观察哪些 name server 有开放 zone transfer 查询,接着去蒐集还有哪些公司使用同一台 name server,再进一步扫瞄那些 domain。那些 domain 也许不是大公司、不在 Alexa top 1M 内,但你无法确保它永远不会是入侵者的攻击目标。结合 0day 进行攻击:当某个第三方套件被揭露 0day 弱点时,拥有上述资料的人就可以迅速执行大範围的攻击。例如这几年正夯的 Rails 在去年被爆出有 Remote Code Exection 弱点 CVE-2013-0156,入侵者可直接对所有 redmine 进行攻击。Juniper VPN 在今年也被揭露 Remote Code Execution 弱点,入侵者可找寻所有 vpn subdomain 来进行尝试。

在上次我们提起这个古老的弱点后,已经有部分台湾企业陆续将此问题修复,但许多台湾企业仍有此问题而不自知,也许过阵子我们直接做个 Wall of Shame 条列出哪些厂商有问题会让大家比较有感 :p

不过也别急着笑台湾企业,许多国际级的大网站同样也有此类问题。由此可见资安问题不分新旧、不分国内外,总是容易被大家忽略,等到不知不觉被入侵者捅了重重的一刀后,才惊觉这许多的小弱点一旦串起来是多幺的可怕。你,开始有所警觉了吗?

上一篇:
下一篇: