Eu ativei o login. Cerca de 2% de todos os pedidos contêm um mix estranho de maiúsculas e minúsculas, como
Jan 7 10:38:46 s1500 named[27917]: client ip address#34084: query: mAIl.MYdoMain.de IN A - (my ip address)
Jan 7 10:39:40 s1500 named[27917]: client ip address#53023: query: MAil.mYdoMAIn.De IN A - (my ip address)
Jan 7 12:10:07 s1500 named[27917]: client ip address#53576: query: SErver25.mydomAiN.De IN A - (my ip address)
A mixagem de maiúsculas / minúsculas muda mesmo se solicitada pelo mesmo cliente, algumas solicitações são separadas por segundos. A maioria das solicitações parece ter origem em provedores de DSL locais (alemães).
Alguém pode explicar o que está acontecendo aqui? Eu não tenho idéia de por que alguém iria randomizar a capitalização do nome de domínio, ou qual problema de segurança o atacante quer aproveitar.
Eles / seus clientes podem estar usando uma implementação de DNS que usa codificação de 0x20 bits (o que ajuda a evitar a falsificação de DNS). Isso basicamente adiciona mais entropia às solicitações DNS, um invasor agora tem que adivinhar o ID da consulta, a porta de origem e nome da consulta no caso apropriado para forjar a resposta com êxito.
Veja o link
Tags bind domain-name-system