域名不僅是我們實現互聯網的基礎，而且也讓我們在訪問互聯網資源時方便了許多。雖然很多人在自己的日常生活中都會使用到各種各樣的域名，但是幾乎很少有人真正了解它們的運行機制。在多個抽象層以及多種Web服務的幫助下，用戶可以輕松地購買并持有域名，然后在完全不了解DNS、域名注冊商或WHOIS的情況下搭建好自己的整個站點。雖然這種抽象形式給終端用戶帶來了很多好處，但同樣也給他們屏蔽了很多重要信息。比如說，很多域名注冊商會向用戶積極推薦.io域名，但是又有多少個購買了.io域名的用戶清楚誰才是背后真正持有并管理這些.io域名的人呢？
我想表達的并不是“絕大多數的域名持有者都不知道自己域名背后的運行機制”。實際上，我想在這篇文章中跟大家討論的是域名后綴（Domain Extension）的安全問題。
DNS結構簡介
注：如果你已經清楚DNS的工作機制及其委派機制的話，你可以直接跳過這一章節。
那么，當你購買一個域名時，你真正購買的實際上是什么呢？簡單來說，你購買的實際上是一些NS（域名解析服務器）記錄，這些記錄托管在域名后綴的域名解析服務器上，其中還不包括類似WHOIS、域名注冊商服務以及ICANN服務這樣的輔助性服務在內。我在研究過程中發現，如果想要深入理解DNS的運行機制，那么可視化絕對是一種非常好的學習方式，因此我專門編寫了這款名叫TrustTrees的工具，它可以生成一個域名的委托路徑圖。為了更好地理解域名后綴在整個DNS執行鏈中的具體位置，我們先來看一看下面這張圖片，圖片中顯示的是example.com的委托鏈。

如上圖所示，委托鏈起始于根節點DNS服務器，并通過一系列節點之間的傳遞最終尋找到目標域名解析服務器，客戶端發送的DNS查詢請求同樣起始于根節點DNS服務器。客戶端會向其中一個root域名解析服務器發送DNS查詢請求，但服務器起始并不知道如何響應這種請求，因此它會將查詢請求委托給TLD（頂級域名），而TLD會負責將請求發送給正確的域名解析服務器，最終客戶端將接收到正確的域名解析服務器所返回的權威應答。上圖顯示了所有可能的委托路徑（藍色代表權威應答），之所以會存在這么多路徑，是因為DNS響應中包含一堆隨機排序的應答列表，這是為了均衡查詢負載而設計的（這種技術名為Round Robin DNS）。根據返回結果的不同順序，最終負責處理查詢請求的域名解析服務器也會不同，因此它們也有可能提供不同的查詢結果，上圖中也顯示了不同的排序以及域名解析服務器之間的關系。
因此，你在購買了example.com之后，.com將會向其DNS空間中添加一些NS記錄，這些記錄負責將有關example.com的DNS查詢請求委托給你所提供的域名解析服務器。這種“委托給你域名解析服務器”的方式不僅可以允許你控制自己的域名，而且還可以允許你創建example.com的任意子域名以及DNS記錄。如果.com將指向你域名解析服務器的NS記錄移除了，那么任何人都無法再訪問到你的域名解析服務器，因此example.com也就沒有意義了。
實際上在上圖所示的鏈圖中，TLD和域名后綴的工作機制是十分相似的。TLD之所以能夠存在并進行操作，是因為根域名解析服務器將查詢請求委托給了TLD的域名解析服務器，如果根域名解析服務器突然將.com的NS記錄從其域名空間數據庫中刪除了，那么全世界所有的.com域名都將無法正常訪問。
與域名一樣，域名后綴同樣會受到域名解析服務器漏洞的影響

我們現在已經清楚了，TLD和域名后綴與普通域名一樣都是擁有域名解析服務器的，那么問題就來了，“這是否意味著TLD和域名后綴與普通域名一樣也會受到DNS安全問題的影響呢？”答案是肯定的。如果你閱讀我我們之前發布的一些文章，你就會知道我們有多種方法來劫持域名解析服務器。不僅如此，我們還介紹了如何利用過期域名劫持域名解析服務器【參考資料一】以及如何在未經認證的情況下拿到域名空間的完整控制權【參考資料二】。有了上面這些知識儲備之后，我們準備實現一個更加有意思的目標：接管整個域名后綴。
接管域名后綴-攻擊計劃
與惡意攻擊者不同的是，我并不打算走捷徑來實現我們的目標，即劫持一個域名后綴。我會按照攻擊域名后綴的研究方法來帶著大家一步一步進行操作。但是我發現，很多域名后綴／TLD域名解析服務器都處于一種非常不安全的狀態，所以利用漏洞并獲取到一個域名后綴的控制權其實比你想象的還要簡單。雖然討論類似“如何在域名解析服務器／記錄上實現遠程代碼執行”這樣的話題有些超綱了，但我還是要提到這部分內容，因為這也是實現我們目標的方法之一。
一般來說，攻擊者一般會使用下面這些方法來入侵一個TLD或域名后綴：
利用DNS服務器（該服務器托管了一個給定的域名后綴）中的漏洞或利用域名后綴的域名解析服務器中其他服務的漏洞。攻擊域名記錄的方法同樣屬于這種類型，因為更新域名空間對它們來說屬于常規操作。
查找并注冊一個過期或拼寫有誤的域名解析服務器域，它可以提供針對域名后綴/TLD的權威應答。
通過創建一個DNS空間來劫持域名后綴。
查找TLD的WHOIS聯系信息，并劫持其電子郵箱地址。
接下來，我們會對上面這些方法一一進行討論，并嘗試一步一步實現我們的目標。
很多TLD和域名后綴的域名解析服務器都存在安全漏洞
在研究第一種攻擊方法之前，我打算對所有TLD的域名解析服務器進行一次簡單的端口掃描。一般情況下，服務器會開啟端口53來監聽UDP/TCP連接，此時所有其他的端口都將處于關閉狀態。鑒于這些域名解析服務器的功能和地位都如此重要，所以管理員們都會盡可能地縮小服務器與外界的接觸范圍，暴露任何多余的服務（例如HTTP、SSH或SMTP等等）都意味著我們在給攻擊者提供更多的入侵方法。
Finger協議
203.119.60.105（e.dns-server.vn）: 頂級域名.vn的權威域名解析服務器（越南來源：本站整理 作者：佚名 時間：2017-06-08 TAG： 我要投稿

 

202.29.151.3（munnari.oz.au）:頂級域名.ba的權威域名解析服務器（波斯尼亞和黑塞哥維那）
Les Earnest于1971年設計出了Finger協議，該協議允許用戶檢查遠程計算機中某個用戶的狀態。這是一個非常老的協議，現代系統幾乎不會再使用這個協議了。這個協議的核心觀點正好可以回答下面這個問題：“嗨，Dave現在正在使用他的設備嗎？他正在忙嗎？”在Finger協議的幫助下，你可以檢測遠程用戶的登錄名、真實名稱、終端名稱、空閑時間、登錄時間、辦公地點以及辦公電話等等。接下來，我們會利用Finger協議來檢查上面那個波斯尼亞的權威域名解析服務器，然后查看root用戶的情況：
bash-3.2$ finger -l root@202.29.151.3
[202.29.151.3]
Login: root                       Name: Charlie Root
Directory: /root                        Shell: /bin/sh
Last login Sat Dec 14 16:41 2013 (ICT) on console
No Mail.
No Plan.
看來這個服務器的root用戶已經很久沒上過線了…接下來，我們看一看越南的那個域名解析服務器：
bash-3.2$ finger -l user@203.119.60.105
[203.119.60.105]
Login name: nobody                In real life: NFS Anonymous Access User
Directory: /                       
Never logged in.
No unread mail
No Plan.
Login name: noaccess              In real life: No Access User
Directory: /                       
Never logged in.
No unread mail
No Plan.
Login name: nobody4               In real life: SunOS 4.x NFS Anonymous Access User
Directory: /                        
Never logged in.
No unread mail
No Plan.
Login name: named                 In real life: User run named
Directory: /home/named                  Shell: /bin/false
Never logged in.
No unread mail
No Plan.
bash-3.2$
bash-3.2$ finger -l root@203.119.60.105
[203.119.60.105]
Login name: root                  In real life: Super-User
Directory: /                            Shell: /sbin/sh
Last login Tue Sep 30, 2014 on pts/1 from DNS-E
No unread mail
No Plan.
這個服務器的root用戶上一次登錄時間為2014年9月30日。需要注意的是，這些服務器安裝了Finger協議，也就暗示了這些服務器的年代到底有多么久遠。
動態網站
除了端口53之外，域名解析服務器中最常見的開放端口應該就是端口80（HTTP）了，我們甚至可以直接訪問這些網站來獲取很多有意思的信息。比如說，其中的一個域名解析服務器會直接將我重定向到一個廣告網站：
* Rebuilt URL to: http://93.190.140.242/
*   Trying 93.190.140.242...
* Connected to 93.190.140.242 (93.190.140.242) port 80 (#0)
> GET / HTTP/1.1
> Host: 93.190.140.242
> Accept: */*
> User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0
>
* Closing connection 0
我現在還無法確定這是不是一臺已經被入侵的域名解析服務器，或者說這只是管理員單純地想賺外快而已。
某些其他的域名解析服務器（例如阿爾巴尼亞的.com.al, .edu.al, .mil.al, .net.al和.nic.al域名解析服務器）則會返回各種配置頁面，這些頁面提供了關于當前設備的verbose信息：

如果不能在遠程服務器上運行命令行工具的話，總感覺少了點什么：

總結
除此之外，某些域名解析服務器中還加載了很多有趣的服務，但在此我就不對其進行贅述了。對于域名解析服務器來說，類似SMTP、IMAP、MySQL、SNMP和RDP這樣的端口很可能都處于開放狀態，這些服務給攻擊者提供了很多攻擊切入點，這將會極大地提高攻擊者的入侵成功率。但我不鼓勵大家進行更深入地測試，因為我們的目的并不是為了進行惡意操作。其實很多域名解析服務器早就已經過時了，而且服務器所運行的軟件其安全性也是千瘡百孔。不幸的是，由于這些服務器的年代過于久遠，我們甚至連管理員都無法聯系到，更別說去修復這些漏洞了。