最近讨论DNS缓存中毒漏洞的人太多了。今天好了，Python代码也出来了，我看了下，结论就是两个字，YY。

        这段代码中，把目标DNS服务器的端口直接固定为32883了。然后TID的计算，从1024试到65535，难怪在ruby中没看到我想找的TID变化范围，原来压根就没有啊。要是这样攻击成功了，确实运气不错。至于代码中固定写死的端口，代码中有这样的注释：“To use this script, you have to discover the source port used by the vulnerable DNS server”。一个字——“靠”！

        再不说这个了，想想晚上去哪里吃火锅才是王道。

        困了，写篇blog解解乏，清醒了再去搞PPT做正事。先说DNS缓存中毒的事情吧，再说说一小段聊天记录，最后说说一个比较搞笑的事情。

        DNS缓存中毒最近沸沸扬扬的，开始出来了好多文章，讲了很多，但是都对关键的ID猜测避而不谈。然后又是不停的遮遮掩掩，现在终于看到代码了。ruby 我是不懂的，所以只是大致看了看，和czy还有san讨论略微了下，不过我们都不懂ruby，像是在摸象一样。从最新的代码来看，似乎ID的碰撞还是老办 法——靠运气。对于DNS缓存中毒，很明显主要难点是两个，目标DNS发起到权威服务器的查询时，它用的UDP端口是什么，以及它用的ID是什么。虽说最 大不过是0xffff，但是要在真实回应之前猜到，也不是那么容易的事情。

        另外想说的是漏洞检测问题，milw0rm的那个代码检测部分我也没太明白，只知道是去查询了一个TXT记录。我把我的想法说一下，不过实现起来有些条件，这里假设你要攻击的DNS服务器为1.2.3.4。首先你需要有一个域名的控制权，比如icylife.net，再需要一个DNS服务器，假设IP为5.6.7.8，在这个DNS服务器上面抓包，过滤53端口。首 先把icylife.net的name server设置为5.6.7.8，然后再向1.2.3.4查询test1.icylife.net之类的域名几次，因为域名不存在，所以它会去请求你的 name server。这样每次不同的不存在域名，多查几次，就能根据抓包的内容判断1.2.3.4是不是用的静态UDP端口了。不过milw0rm代码不是这么 做的，它简单的多，可惜我不懂ruby，看来有必要去学一下了。

        再说说攻击，就我这种不懂ruby的人来看，那代码似乎是在碰运气，没有看到利用DNS Server的漏洞给出一个ID算法或者范围，希望有ruby达人指点一下。就我的想法来说，在真实权威服务器应答之前，攻击者能够发出几个伪造包？？？？何况说不定你的网速比权威服务器还慢，那就……当然，你可以不停的query，不停的应答，这样也不过每次1/65535的几率而已，而且这已经接近UDP Flood了。不过代码中的Additional Resource Records倒是我开始没注意到的。另外可以提一下的是，如果权威DNS服务器恰好在那个时候挂掉了……当我没说过吧，DDOS是要坐牢的。

        再说第二个事情，最近有个朋友和我聊天，可能是刚接触到甲方做安全的一些事情吧。今天突然跑来问我，有没有做过产品A+产品B+产 品C+产品D+产品E配合做限制，一看到这个我就晕了。和他聊了下，还是个不错的人，技术也可以。现在最大的问题是，脑子里还缺少一个观念，就是现在的网 络是什么样子的，我想把网络做成什么样子，我为什么要把网络做成这个样子，然后才是我应该怎么样去做。另外一点，有时候太过于关注IAS怎么配置，ACS又怎么配置了，当然，每个人有自己的兴趣，也不是坏事。总的来说，觉得他挺好的，学习能力也好，要是能来我们公司就好了，能帮不少忙。

        最后以一个笑话结尾，是什么公司我就不说了，是某公司吧。最近帮某个地方做事情，是一个部署在windows上面的系统的安全性评估设计。听到他们的SA说，windows我们系统管理部不管，windows是IT部的事情，我们不懂，我们SA只懂linux系统。听到这个，我不知道说什么好，只想狂笑，哈哈哈哈。或许在他们这种高手心中，系统不是按应用分，而是按照操作系统分的吧。不会？刚生出来的时候还不会吃饭，现在会不？哈哈哈，windows是IT部的事情。

《虎照让陕西很受伤 称要加强管理互联网》，“各级领导干部应趋利避害，因势利导，加强对新兴媒体的应用和管理，营造良好的网络环境”。很好，以后可以拍更多的东西了。

《游戏瘾将纳入美国精神疾病范畴》，要是中国也按这个标准的统计话，我们的大部分大学，中学都成精神病院了。不过根据前些时候的一些视频看来，好像还真的是那么回事。

有人说《美元贬值波及外汇储备估算中国每月损失四航母》，有人说《中國外儲每月蒸發300億美元》，也有人说《人民币升值外汇储备缩水，荒唐！》，到底谁说的对？可惜我学经济的，还是一点不懂。不过我知道的是，广东和江浙一带很多小企业倒闭了。

《世界最大对撞机即将启动 将重现宇宙诞生时形态》，现在距离启动时间越来越近了，到时候会不会发生意外？cnbeta上面担心的人倒是挺多的，害怕出现黑洞……不过在国外科学家忙的时候，我们的“砖家”也没有闲着，他们在《呼吁应联合防御小行星撞地球》，不知道是不是和我一样，看了《世界末日》。

        今天抽空看了下emule协议几个可能会出问题的地方，初步感觉是可能真的有问题。下了代码回来看了，不过代码太大，目前还没找到地方，没法对想法进行印证。我简单的说下，看哪位代码牛人能够在项目中找到对应的代码。

        首先是在客户端连接到服务器之后，搜索文件时，服务器返回结果的报文。报文中返回的结果是一个集合，每个集合表示一条记录。但是每条记录中，并不包含拥有该文件的客户端的IP地址，而是返回的拥有该文件的客户端的ClientID和端口。这里我猜测ClientID的计算是可逆的，搜索发起者可以根据这个ClientID计算出IP地址，然后连接，请求下载文件。具体报文结构如下：

搜索结果列表项格式：

        其次的第二个地方是下载文件的地方，客户端要求下载一个文件时，服务器会返回一个源查找结果报文。该报文也是只包含源的ClientID和端口，客户端应该是按照ClientID计算出IP地址，再去连接下载文件的。具体报文如下：

每一条源的报文格式如下：

        可以看到，搜索某个文件时，服务器返回的搜索列表中按照ClientID来区分不同的其它客户端。在开始下载一个文件时，服务器返回的可用源列表中，每个源也是以一个ClientID来表示的。也就是说，没一个ClientID就可以确定一个源，区分开彼此。而emule可以根据这个ClientID找到对应的客户端，去连接指定端口，请求文件。那么，现在的问题是这个ClientID是哪里来的？

        原来这个ClientID在正常情况下，是我们连接到emule服务器时，服务器分配给我们的。但是注意到，在连接之后，我们可以像服务器提供我们所拥有的文件列表，报文格式如下：

        单个文件条目描述我就不细写了，比较有用的字段是文件Hash码，ClientID，以及端口。这样看来，我们在连接到服务器之后，告诉它baidu的IP地址，TCP80端口，有赤壁下载，或者有XXX片下载，别人下载的时候，emule客户端会不会从服务器返回的可用源列表中，找到这条记录，并且去连接？

        关键问题到了ClientID的计算，协议中这样描述的：假设 IP 地址为 X.Y.Z.W,则客户端 ID 按公式 X+28*Y+216*Z+24*W (Big Endian[6])计算。如果想法是正确的，那么我们可以先计算出百度的IP地址的ClientID，端口设置为80，然后通知服务器，这个ClientID有高树的片子可以看……

        是不是可行？我不知道，等我找到对应的代码，可能要到过年了。

作者山东作协副主席王兆山，从6月6日发表于《齐鲁晚报》

天灾难避死何诉，主席唤，总理呼，党疼国爱，声声入废墟。十三亿人共一哭，纵做鬼，也幸福。
银鹰战车救雏犊，左军叔，右警姑，民族大爱，亲历死也足。只盼坟前有屏幕，看奥运，同欢呼。

        午间休息，刺他们都在看YY小说，我来扯淡算了。

        先是《八大山人》。刚才在天涯，看到一个人写文章，一本正经的样子，感觉还不错。突然看到这么一句，“八大山人之一的”，立马笑喷。记得余秋雨也拿八大山人的事情，消遣过别人，那是在《青云谱随想》中的一段记叙。“有一年我招收研究生时曾出过一道历史文化方面的知识题：‘略谈你对八大山人的了解。’一位考生的回答是：‘中国历史上八位潜迹山林的隐士，通诗文，有傲骨，姓名待考。’把八大山人说成是八位隐士我倒是有所预料的，这道题目的‘圈套’也在这里；把中国所有的隐士一并概括为‘通诗文，有傲骨’，十分有趣；至于在考卷上写‘待考’，我不禁哑然失笑了。朱耷常把‘八大山人’这个署名连写成‘哭之’、‘笑之’字样，我想他见到我这位考生也只能哭之笑之的了。 ”

        再是关于色情网站。中国青少年研究中心和搜狐社区联合发布的《青少年网络使用状况》调查显示我国近五成青少年接触过黄色网站。很惊讶，惊讶的是居然还有50%的青少年没看过黄色网站？对于这个结果，也有点怀疑，就像我们ZF以前的各项调查一样。最近的一些事情显示，现在的孩子真是不得了，我快要支持恢复凌迟处死和腰斩了。

        稍微和IT沾边一点的，是微软或成中国《反垄断法》第一被告，对这个新闻没什么好说的。毕竟在中国，一向都没有什么垄断，都是人民在做主——虽然人民是个比较泛的概念，但是毕竟有党代为行使权利就可以了。

        今天他们在群里面说到最近的DNS缓存中毒漏洞，并且绿盟的公告中提到了一些细节性的东西，地址是http://www.nsfocus.net/vulndb/12124。因此根据公告，我稍微推测下这个漏洞的一些问题。

        首先是如何攻击的推测。这个根据公告，应该能看出一些端倪。首先使用nslookup查询某个域名的权威解析服务器名称，得到其IP地址，这样就可以生成一些伪造源IP地址和DNS ID的DNS Response数据包。然后向目的DNS服务器查询目的域名，提交了查询之后，马上快速发送生成的伪造DNS Response数据包给目的服务器。让目的DNS在真实的权威DNS服务器响应到达之前，接受到恶意的应答。

        但是这里有一个难点：一个大站点的域名，在攻击者请求查询的时候，基本上100%已经存在缓存了。攻击者发起DNS查询时，DNS服务器直接从缓存应答了，根本不会去请求权威域名服务器。解决这个问题，有两个办法，第一个是攻击一个生僻的域名，或者不存在的二级域名，比如说把fuck.google.cn解析到1.2.3.4，用来钓鱼或者挂马用；第二个办法，是不停的给目的DNS服务器发送恶意的DNS Response数据包，增大碰到缓存过期需要更新数据的几率。不过这样又带来了新的问题，很可能这样的投毒，最终变成了UDP Flood了。

        其次是攻击结果的推测。如果攻击一个不存在的二级域名，最终只能用来钓鱼或者挂马，但是如果能够攻击到主域名，则可以做任何事情了，比如说上海用户看到的baidu变成了sex站点。攻击不存在的二级域名比较容易，只要知道DNS ID的可选数字就行了，一次生成足够的数据包发过去，然后就看怎么骗人访问了。想让主域名中毒，黑掉站点，那就比较难了。

        看得比较随意，不知道推测的是不是对的，等等看吧。

        周末和ICY在飞来峰灵隐寺转了一圈，深山，幽谷，小涧，古寺，远离城市喧嚣，非常的舒服。如果有这么一个地方，和ICY一起住在那里，不亦快哉。

        古藤盘根幽鸟鸣，小涧潺潺修竹深。
        山中古寺无岁月，花开花落计光阴。

        这次也拍了不少照片，不过以ICY为主。我这样子，免得影响风景，就没怎么拍了。我家ICY发了几张照片。要查看请在你的显示器上猛击这里：http://www.icylife.net/icy/show.php?id=124