我已经打开了login名。 大约2%的请求包含大小写域的奇怪组合,例如
Jan 7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address) Jan 7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address) Jan 7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address) 即使从同一客户端请求,大小写混合也会发生变化,但某些请求仅相隔数秒。 大多数请求似乎来自本地(德国)DSL提供商。
有人能解释这里发生了什么吗? 我不知道为什么有人会随机化域名大写,或者攻击者想要利用哪个安全问题。
他们/他们的客户可能正在使用一个使用0x20位编码的DNS实现(这有助于防止DNS伪造)。
这基本上给DNS请求增加了更多的熵,攻击者现在必须在适当的情况下猜测查询ID,源端口和查询名称,以成功地伪造响应。