由從專用網(wǎng)絡(luò)泄露到全球 DNS 中的查詢引起的域名沖突會引起很多意想不到的后果。如果查詢得到了肯定的響應(yīng)，但結(jié)果卻是來自全球 DNS 而非預(yù)期的專用命名空間，執(zhí)行查詢的應(yīng)用程序就會嘗試連接到不屬于專用網(wǎng)絡(luò)的系統(tǒng)，連接可能成功，但也可能帶來不便(造成域名解析延遲)。

　　定向到意外網(wǎng)站

　　假設(shè)用戶使用專用網(wǎng)絡(luò)時在其 web 瀏覽器中輸入 https://finance.ourcompany，那么該網(wǎng)絡(luò)就會有一個專用 TLD ourcompany 的命名空間。如果瀏覽器查詢域名 finance.ourcompany 時能夠正常解析，則說明該瀏覽器獲取了財務(wù)部門內(nèi)部 web 服務(wù)器的 IP 地址。試想，雖然 TLD ourcompany 也包含在全球 DNS 中，但該 TLD 還含有一個二級域名 (SLD) finance。如果查詢泄露，它將解析得到與在專用命名空間解析查詢時得到的 IP 地址不同的地址�，F(xiàn)在，假設(shè)這個不同的 IP 地址配置到 web 服務(wù)器。瀏覽器就會嘗試連接到公共網(wǎng)絡(luò)而非專用網(wǎng)絡(luò)的 web 服務(wù)器。

　　如前所述，即使在沒有專用 TLD 但使用了搜素列表的網(wǎng)絡(luò)中也可能出現(xiàn)同樣的問題。如果某個瀏覽器在用戶擁有搜索列表(包含域名 ourcompany.com)的網(wǎng)絡(luò)中可以正常使用，那么用戶為了訪問主機(jī)www.finance.ourcompany.com 就會輸入域名 www.finance。現(xiàn)在，假設(shè)一家咖啡店的員工正在移動設(shè)備上使用該瀏覽器。如果該查詢泄露到互聯(lián)網(wǎng)，而且互聯(lián)網(wǎng)上恰好有名為 finance 的 TLD，那么查詢就可能解析得到不同的 IP 地址，例如，域名在全球 DNS 中的完全不同的主機(jī)地址 www.finance。該查詢可能導(dǎo)致瀏覽器嘗試連接到與在專用網(wǎng)絡(luò)解析器查詢完全不同的公共網(wǎng)絡(luò) web 服務(wù)器。

　　這種情況下，普通用戶往往會認(rèn)為這是錯誤網(wǎng)站并立即離開。但是，如果瀏覽器因為 web 服務(wù)器含有與其先前訪問的地址完全相同的域名而“信任”該 web 服務(wù)器，那么該瀏覽器就會向其泄露大量信息。瀏覽器可能會自動輸入登錄信息或其他敏感數(shù)據(jù)，從而導(dǎo)致信息被組織以外的人員捕獲或分析。其他情況下(例如，對該組織的蓄意攻擊)，瀏覽器可能會連接到配置有惡意代碼的網(wǎng)站，從而在計算機(jī)上安裝危險程序。

　　請注意，使用 TLS 和數(shù)字證書可能不能幫您防止域名沖突帶來的損害;實際上，由于這種做法會給用戶一種安全的錯覺，反而危害更大。為全球 DNS 中的域名頒發(fā)證書的很多證書頒發(fā)機(jī)構(gòu) (CA) 還會為專用地址空間中的簡短非限定域名頒發(fā)證書，因此，定向至錯誤網(wǎng)站的用戶仍有可能看到有效證書。

　　電子郵件定向至錯誤的收件人

　　域名沖突可能引起的后果不僅表現(xiàn)在 web 瀏覽器上。如果收件人地址的主機(jī)名相同，本來打算發(fā)送給某位收件人的電子郵件可能會被發(fā)送給其他收件人;例如，如果 ourcompany 是全球 DNS 中的 TLD，發(fā)送給 chris@support.ourcompany 的電子郵件可能會被發(fā)送給完全不同的用戶賬戶。即使郵件未被成功發(fā)送給特定的電子郵件用戶，也可能存在發(fā)送嘗試，此類嘗試可能導(dǎo)致電子郵件內(nèi)容被組織以外的人員捕獲或分析。

　　很多網(wǎng)絡(luò)設(shè)備(如防火墻、路由器，甚至打印機(jī))可能被配置為通過電子郵件發(fā)送通知或日志數(shù)據(jù)。如果輸入的電子郵件通知收件人名稱在全球 DNS 中出現(xiàn)域名沖突的情況，那么通知可能會被發(fā)送給完全意想不到的收件人。郵件正文中可能透露網(wǎng)絡(luò)配置和主機(jī)行為的事件或日志數(shù)據(jù)可能泄露給意外收件人。如果該數(shù)據(jù)的指定收件人未收到日志數(shù)據(jù)或觸發(fā)通知的事件無法得到調(diào)查或緩解，IT 工作人員的常規(guī)網(wǎng)絡(luò)性能或流量分析就可能中斷。

　　安全性降低

　　未得到緩解的域名沖突可能導(dǎo)致專用網(wǎng)絡(luò)中的系統(tǒng)面臨意外行為或危險。依靠域名解析進(jìn)行正確操作和執(zhí)行安全功能的系統(tǒng)使用 FQDN 從全球 DNS 解析時可以可靠地執(zhí)行操作。

　　例如，在防火墻中，安全規(guī)則通�；�于數(shù)據(jù)包流的來源或目標(biāo)。數(shù)據(jù)包的來源和目標(biāo)是 IPv4 或 IPv6地址，但是很多防火墻也會讓其作為域名輸入。如果使用了簡短非限定域名，且未正常執(zhí)行域名解析，那么規(guī)則可能無法按照管理員的期望阻止或允許通訊流量。同樣，防火墻日志經(jīng)常使用域名，而且使用以不可預(yù)測的方式進(jìn)行解析的簡短非限定域名會影響事件監(jiān)控、分析或響應(yīng)。例如，由于日志中的簡短非限定域名會根據(jù)創(chuàng)建日志的地址識別不同的主機(jī)(即在日志中，同一簡短非限定域名可能關(guān)聯(lián)兩個或以上不同的 IP 地址)，因此導(dǎo)致審核日志的 IT 工作人員可能會誤解事件的嚴(yán)重性。這一問題可能很復(fù)雜，因為大多數(shù)防火墻都可以作為自己的 DNS 解析器或允許管理員使用或配置搜索列表。

　　受域名沖突影響的系統(tǒng)

　　應(yīng)檢查所有聯(lián)網(wǎng)系統(tǒng)是否使用了植根于專用 TLD 的主機(jī)名或基于搜索列表的主機(jī)名。所有這些“使用”實例均需要進(jìn)行更新，以使用全球 DNS 中的 FQDN。要檢查的系統(tǒng)或應(yīng)用程序列表大概包括：

　　瀏覽器 - 用戶可在 Web 瀏覽器上指定 HTTP 代理的位置，通常針對專用網(wǎng)絡(luò)。檢查用戶或IT 工作人員是否設(shè)置了自定義主頁、書簽或搜索引擎：這些內(nèi)容會鏈接到專用網(wǎng)絡(luò)上的服務(wù)器。有些瀏覽器還提供配置選項，通過這些選項可獲取有關(guān)指向?qū)Ｓ镁W(wǎng)絡(luò)上的主機(jī)名的 SSL/TLS 證書的撤銷信息。

　　Web 服務(wù)器 - Web 服務(wù)器提供包含嵌入主機(jī)名的鏈接和元數(shù)據(jù)的 HTML 內(nèi)容。檢查專用網(wǎng)絡(luò)上的 web 服務(wù)器是否含有帶簡短非限定域名的內(nèi)容。檢查 web 服務(wù)器的配置文件是否含有專用網(wǎng)絡(luò)上其他主機(jī)的簡短非限定域名。

　　電子郵件用戶代理 - 諸如 Outlook 和 Thunderbird 之類的電子郵件客戶端均提供配置選項，通過這些選項可使用 POP 或 IMAP 協(xié)議接收電子郵件，并基于 SUBMIT 協(xié)議發(fā)送電子郵件;所有這些都可能使用專用網(wǎng)絡(luò)上的主機(jī)名。檢查這些應(yīng)用程序是否配置為可從分配了簡短非限定域名的主機(jī)獲取有關(guān) SSL/TLS 證書的撤銷信息。

　　電子郵件服務(wù)器 - 檢查電子郵件服務(wù)器是否具有列出其他本地主機(jī)的簡短非限定域名的配置，例如備份電子郵件網(wǎng)關(guān)、離線存儲服務(wù)器等。

　　證書 - 檢查使用 X.509 證書的應(yīng)用程序(如電話和即時消息程序)是否具有使用簡短非限定域名識別獲取有關(guān) SSL/TLS 證書的撤銷信息位置的配置數(shù)據(jù)。

　　其他應(yīng)用程序 - 自定義應(yīng)用程序可能含有儲存主機(jī)名的多個配置參數(shù)。最明顯的空間可在配置文件中，但是主機(jī)名可能出現(xiàn)在多種應(yīng)用程序數(shù)據(jù)、社交媒體或維客網(wǎng)站鏈接中，甚至還可能硬編碼在源代碼中。檢查這些配置數(shù)據(jù)是否使用簡短非限定域名。

　　網(wǎng)絡(luò)設(shè)備 - 檢查網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備(防火墻、安全信息與事件管理 [SIEM] 系統(tǒng)、路由器、交換器、網(wǎng)絡(luò)監(jiān)控設(shè)備、入侵檢測或預(yù)防系統(tǒng)、VPN 服務(wù)器、DNS 服務(wù)器、DHCP 服務(wù)器、日志服務(wù)器)，以確定這些設(shè)備是否使用專用網(wǎng)絡(luò)上其他設(shè)備的簡短非限定域名進(jìn)行配置。

　　客戶端管理 - 檢查諸如配置組織工作站和網(wǎng)絡(luò)設(shè)備之類的集中式客戶端管理工具，在由系統(tǒng)控制和重置的配置(尤其是搜索列表)中是否含有簡短非限定域名。

　　移動設(shè)備 - 消費(fèi)類電子設(shè)備，如電話和平板電腦，可能與上述一些應(yīng)用程序具有類似的配置選項，因此可能有包含來自本地網(wǎng)絡(luò)的簡短非限定域名的配置選擇。

　　應(yīng)檢查所有這些系統(tǒng)中儲存簡短非限定域名的配置數(shù)據(jù)，以確保當(dāng)專用命名空間的根更改或不再使用搜索列表時，此類域名能得到更改。

本文鏈接：http://m.51huadong.com/cloundnews/11000453.html