小小工程師的日常筆記

Extensible Provisioning Protocol(EPP)

Tue, 14 May 2019 02:15:43 +0000

Extensible Provisioning Protocol(EPP)是一個網域名稱註冊的一個標準的協定

早期的每一家註冊局(registry)都有自己的註冊域名的API或是格式

當一家代理註冊商(registrar)要能夠代理不同註冊局的域名時，就會

碰到程式不通用的問題。為了解決這個問題，IETF推出了一個通用格式

Extensible Provisioning Protocol(EPP)，他是一種以XML的標準格式

讓registrar在與各家registry溝通時能夠更方便的傳輸資料。

完整的資料傳輸流程大概是這樣，首先client與EPP server端先建立TCP三方

交握連線，接著進行加密憑證的交換(一般是走加密連線啦，應該很少是明文

傳送)，連線完成之後，首先是SERVER端或傳送一個HELLO，內容是這個EPP SERVER

的相關資訊，使用的EPP版本，是否有extension以及schema，接著client端每

發送一個request，server端就會回應一個response。client首先必須先作login

，server回應登入成功，後續就夠發送要執行動作的request，當連線結束後，client

需要在發送一個logout的指令，或是直接斷開連線，server仍然會發送一個斷開

連線的Response。

整個EPP的指令大概可以分成兩類，一類是連線用指令(login、logout、greet)，

另一類是操作相關物件用(create建立、update更新、delete刪除、transfer移轉

、info查詢資料、check檢查是否存在、renew續用、poll通知)。

一個網域名稱主要分成三個物件，網域名稱(Domain)、聯繫資訊(Contact)、主機資訊(Host)。

當我們要註冊一個網域名稱，因為網域的資料中一定要帶擁有者等相關聯繫資訊

因此必須要先建立個人資料(contact create)，接著才能夠註冊網域名稱(domain create)，

網域建立成功之後僅表示這個網域名稱已經屬於某個人，但是仍然無法運作，接著要建立

Host(Host create)資訊，也就是指定你的DNS主機，DNS才能夠正常解析，才能夠讓這個域

名能夠真正的發揮作用。

所以一個完整註冊的流程大概是這樣的

檢查contact是否存在(contact check)->不存在則註冊contact(contact create)->檢查contact是否存在

要註冊的域名是否存在(domain check)->不存在則註冊域名(domain create)->建立自己的host主機資訊

(host create)->更新域名設定NS(domain update)

xml範例：

REQUEST:

RESPONSE:

  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd">


      Command completed successfully



        test.com.tw
        2019-05-13T16:21:58.0Z
        2020-05-13T16:21:58.0Z



      ABC-96803-XYZ
      1557764518-3829-2515

以上是一個domain create的範例，相關的XML schema都可以在網路上找的到

可以看到要做的動作基本上是被包在command這個tag中，回應中會有一個

result code，1XXX開頭基本上就是成功，其他開頭就是失敗，這個資料在RFC

中都有說明。

使用者的request中必須帶有一個ABC-96803-XYZ，這是一個

代表連線的資訊，回應的時候同時也會帶上這個資訊，表示是回應哪一個request

同時會加上server的一個唯一的連線ID。

如果註冊商有自己特殊的規定或是資訊，EPP也可以另外增加一個extension的欄位

以DNSSEC為例，XML就會多出一個與create同階層的extension的欄位如下

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd">


          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="urn:ietf:params:xml:ns:domain-1.0 domain-1.0.xsd">
        test.com.tw
        1
        test-contact-001
        test-contact-001
        test-contact-001
    test-contact-001

          testpass




    secDNS:create xmlns:secDNS="urn:ietf:params:xml:ns:secDNS-1.1"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="urn:ietf:params:xml:ns:secDNS-1.1 secDNS-1.1.xsd">

        9765
        5
        1
        4141674BFF957211D129B0DFE9410AF753559D4B



    ABC-96803-XYZ

最後附上筆者從github上下載的php client修改後的一個簡單版的client點擊這裡下載檔案

解壓縮之後填寫設定檔settings.ini，執行php request.php就可以傳送相關命令了，歡迎大家下載使用。

使用iptables 的--string阻擋特定網域名稱查詢

Wed, 27 Jul 2016 02:38:04 +0000

linux的iptables可以針對封包的pattern直接進行比對進行阻擋

這個網路上可以查詢到相當多的資料

所以如果我們要針對DNS的惡意域名查詢在前端iptables做攔阻的話

首先我們必須要知道DNS查詢中的域名是在封包的哪一段

tcpdump -i eth0 -vv -nnn -X port 53 我們先針對自己的53 port做監聽

然後對自己查詢一個a.atest.tw A紀錄

0x0000:  4500 0070 c347 0000 4011 0a6f 3cfb 1968  E..p.G..@..o<..h
0x0010:  3cfb 1969 0035 9ebe 005c ad34 4493 8183  <..i.5...\.4D...
0x0020:  0001 0000 0001 0000 0161 0561 7465 7374  .........a.atest
0x0030:  0274 7700 0001 0001 c014 0006 0001 0000  .tw.............

每行是16byte，所以網域名稱是在第40個byte開始

編碼方式是將字串做hex，所以a.atest.tw就是6105617465737402747700

-A INPUT -p udp --dport 53 -m string --from 41 --to 48--alg bm --hex-string |6105617465737402747700| -j DROP

但是如果仔細觀察第一個點編碼後是01，第二個點編碼後是05，第三個點編碼後是02

一開始真的是讓我百思不得其解

測試了七八個域名之後才發現，他是一個shift的量

最後一個 . 一定是00，第二個點如果前面是tw(長度2)，那就是02...依此類推

所以最後用php做轉換的程式碼大概是像下面

    $str = $argv[1];
    echo hexstring($str)."\n";
    function hexstring($str)
    {
        $var = explode(".",$str);
        $str = '';
        for($i = 0;$i < count($var);$i++)
            $str .= "0".strlen($var[$i]).tohex($var[$i]);
        $str .= "00";
        $rule = "-A INPUT -p udp --dport 53 -m string --from 42 --to 100 --alg bm --hex-string |$str| -j DROP";
        return $rule;
    }

    function tohex($string)
    {
        $hex = '';
        for ($i=0; $i < strlen($string); $i++)
            $hex .= dechex(ord($string[$i]));
        return $hex;
    }

    function toStr($hex)
    {
        $string = '';
        for ($i=0; $i < strlen($hex)-1; $i+=2)
            $string .= chr(hexdec($hex[$i].$hex[$i+1]));
        return $string;
    }
?>

當然你也可以使用cronjob定時去檢查log把一些惡意的攻擊做阻擋。

DNS壓力測試

Wed, 22 Jun 2016 02:09:42 +0000

這一兩年DNS與NTP的反射放大攻擊實在太好用了

透過殭屍電腦與cache server可以打出100倍以上的流量

讓DNS server的管理上變得非常困難，大家又尤其愛攻擊DNS(IP容易造假)

我們在裝DNS以及選擇DNS軟體的時候，就常常需要做一下壓力測試

==========第一種是用bind本身的工具進行測試==========

而bind本身就有提供壓力測試的工具，首先我們到ISC下載bind9.10

https://www.isc.org/downloads/

把它改檔名變成bind.tar.gz，然後解壓縮

tar zxvf bind.tar.gz

進入資料夾

cd bind/contrib/queryper/

進行編譯

make

就會看到有一個queryperf出來

一般我是產生一個要測試的檔案

1.test.tw A
2.test.tw A
1.test.tw NS
.........

./queryperf -d 測試檔案名稱 -s 目標IP

==========另外一種使用tcpreplay==========

首先我們需要用tcpdump錄下一段流量 test.pcap

tcpreplay只要改幾個參數就可以模擬送出大量的流量

-x  攻擊的速度(-x 5  五倍速)

-s  產生隨機的source ip

-i  哪一個interface(實體網孔)

這樣我們只需要將當初DNS的流量用10或100倍速重新replay就可以了

knot安裝與設定

Tue, 21 Jun 2016 09:12:08 +0000

在linux上的DNS除了bind以外，另外還有另外幾種DNS軟體

因為knot的效能聽說比較好，所以就裝起來測試看看

現在knot版本大概是2.2版，不過在ubuntu上apt-get安裝最簡單

可以裝到1.4.2版，雖然不夠新，但是似乎還堪用

另外在centos OS上似乎沒辦法用yum安裝，只能rpm，會麻煩很多

首先裝好ubuntu之後先做更新

apt-get update

接著直接安裝knot

apt-get install knot

他的設定檔會放在/etc/knot/knot.conf，就這樣一個檔案

點開來看listen的部分在interfaces裡

zone寫在zones區塊內如下

zones{
        test.tw{
                file "test.tw";
        }
}

那允許的slave清單就寫在remote內

remotes {
  slave { address x.x.x.x;}
  slave2 {address y.y.y.y@port;}
}

那如果是slave呢

remotes {
  master { address x.x.x.x@53; }
}

zones{
        test.tw{
                file "test.tw";
        xfr-in master;
        notify-in master;     <---這邊的master要對映remotes的master
        }
}

所以你也可以針對特定的domain去跟不同的master做zone transfer

甚至你的master可以開其他的port(非53)，修改為address x.x.x.x@port即可

knot的啟動一樣是service knot start (stop, restart)

重新讀取zonefile

knotc reload

如果做cache server也可以清除某個domain的cache資料

knotc flush domain1 domain2 ...   (2.x版是zone-flush)

另外假如zonefile太多同樣也可以把所有zonefile放到一個資料夾用include的方式

在knot.conf中include "zonefile"

zonefile中寫入所有的domain record位置

zones {
        0test.tw {
                file "/etc/knot/file/0test.tw";
        }
        1test.tw {
                file "/etc/knot/file/1test.tw";
        }
        .........
}

另外knot現在github還有進行升級與維護

在https://www.knot-dns.cz/download/有提到

ubuntu加入他的repository就可以更新到最新版

sudo add-apt-repository ppa:cz.nic-labs/knot-dns

sudo apt-get update

sudo apt-get install knot

bind安裝

Tue, 21 Jun 2016 03:56:19 +0000

環境：ubuntu 14.04 server

直接使用apt-get安裝bind

apt-get bind9

他的設定檔預設放在/etc/bind底下，下面有幾個檔案但是基本上只要動到兩個

named.conf.options <-- 負責你的zonefile目錄，監聽的port，IP範圍

是否forward，簽署dnssec等

named.conf.default-zones <-- 管理你的域名紀錄等資料

如果你的dns server裡面存放很多域名，建議另外獨立一個檔案，使用include如下

include "/etc/bind/zonefile";

在/etc/bind/zonefile裡面就可以寫每個zone的相關資料如下

zone "donain.tw" {
type master; <--master或是slave
file "/var/cache/bind/domain.tw"; <--存放record的檔案位置
};

zone .....

存放record的檔案寫法如下


$TTL    86400
@       IN      SOA     test.tw.        root.test.tw.   (
                        2004102902      ; Serial
                        28800           ; Refresh
                        14400           ; Retry
                        720000          ; Expire
                        86400   )       ; minimum
@                IN      NS      ns1.test.tw.
ns1              IN      A        自己的IP          #這兩行非常重要，不加的話是不會回應的#
@       IN      MX      10      mail.test.tw.
@       IN  MX  20  mail2.test.tw.

root.test.tw為管理者email，serial代表序號，讓slave更新時可以比對

記得寫主機名稱的時候，最後的地方 ns1.test.tw. 最後面加上"."

在DNS裡面他代表root的意思

以mail.test.tw.為例，如果寫成mail.test.tw

解析出來就會變成mail.test.tw為test.tw這個域名的郵件主機名稱

test.tw. 86400 IN MX 10 mail.test.tw.test.tw.

測試的時候用dig @dns-server-ip domain record-type

dig @localhost test.tw A即可

DNS簡介與攻擊/防禦手法

Thu, 17 Mar 2016 07:30:22 +0000

DNS簡介與攻擊/防禦手法

這個檔案只能在登入之後下載。請先註冊或登入