黑客如何发现动态 dns 条目以及他们使用什么工具来收集这些信息?
几天前,我在 no-ip.org 注册了一个免费的 dns 入口,以便向需要在我的开发环境中调用它的第三方开放我的电子商务网站。一天之内,我看到访问我网站的 IP 地址不是来自该第三方。我想知道这个全新的 dns 条目是如何被发现的,而且如此之快。这些人中至少有一个人试图入侵该网站,并且确切地知道我正在使用的基本产品,一个开源电子商务系统,并试图访问管理区域,这让我很好奇这些黑客究竟是如何能够如此快速地提取此信息并准确了解我正在使用的产品。
目前,我已将来自第三方的 IP 地址列入白名单,但我想使用与这些黑客相同的逻辑从安全角度查看我的网站,并在我们投入生产时更好地防范它。
要对名称服务器中列出的新 IP 发出警报,需要对服务器上的区域文件具有特权访问权限,无论这些 IP 是通过手动编辑区域文件还是通过 DDNS 等自动化过程输入的。快速检查显示这些权限默认情况下未通过 no-ip 的标准机制启用。
> server nf5.no-ip.com
Default Server: nf5.no-ip.com
Address: 83.222.240.75
> ls no-ip.com
[nf5.no-ip.com]
*** Can't list domain no-ip.com: Server failed
The DNS server refused to transfer the zone no-ip.com to your computer. If this
is incorrect, check the zone transfer security settings for no-ip.com on the DNS
server at IP address 83.222.240.75.
他们确实启用了按请求进行区域传输,我想这对黑客监视器来说是一件好事。新服务器具有最简单的漏洞。
但老实说,正如 Marc 所建议的那样,它很可能是随机 IP 命中。获取您的产品信息也不难。将服务器分类为新设备后,通常很容易识别服务平台。只需与服务器建立 TCP/IP 连接,通常会通过 IP 数据包中的数字序列和其他信息花絮中的细微差别揭示它运行的操作系统。它看起来像是有人在第一次连接时就知道你的服务器的一切。