<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">bert hubert <<a href="mailto:bert.hubert@powerdns.com">bert.hubert@powerdns.com</a>>于2018年4月27日周五 上午2:33写道:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Apr 26, 2018 at 02:11:15PM -0400, Viktor Dukhovni wrote:<br>
> What's interesting to me here is that hijacking the routes to a DNS-hosting<br>
> provider for a large number of domains enables attacks that then compromise<br>
> many target domains, that would be more difficult to compromise collectively<br>
> via BGP alone.<br>
<br>
Another important thing is that even a brief BGP hijack of DNS *persists*.<br>
A 5 minute takeover can poison people's caches for a day or more. <br></blockquote><div><br>+1,  time is critical. <br><br></div><div>Personally I think,  RPKI may help (ISP side),  FIDO with 2-step verification may help (Client/MobileApp side).<br></div><div>Recursive cache is hard to control,  especially when BGP hijack the authoritative server's IP and set a long fake A TTL.<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I've been pondering a bit if you could attempt to use a takeover to change<br>
NS records for TLDs.  So you hijack a query for <a href="http://www.powerdns.com" rel="noreferrer" target="_blank">www.powerdns.com</a> to a gTLD<br>
server & return some fresh NS records pointing to new IP addresses.  I think<br>
that if you use a shorter TTL than the resolver already had in its cache,<br>
these NS records might stick.<br>
<br>
But in any case, a 1 minute BGP hijack of a big nameserver could have<br>
effects that last for a day or more. Unlike a direct hijack of a webserver<br>
or mailserver IP address.<br>
<br>
And I think a 1 minute BGP hijack is quite feasible, far more so than<br>
keeping it going for a day.<br>
<br>
Btw, it has been noted that injecting a cached HTTP(s) 302 would achieve<br>
something similar if you hijack a webserver IP.<br>
<br>
        Bert<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
dns-operations mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">致礼  Best Regards<br><br>潘蓝兰  Pan Lanlan<br></div></div>