什么是子域攻击/域控制攻击？

所谓“子域接管”，指的是攻击者成功控制了与主域名相关联的子域。 想象一下，你有一个网站，该网站包含多个子域名，比如 blog.example.com、api.example.com 以及 shop.instance.com。 这些子域名就像是你主域内的小型虚拟社区一样。 不过，情况有时也会发生变化：这些子域名有时会变得无人问津或被遗忘。 也许，您为某个并不成功的项目安装了一个子域名；或者，您曾经使用过的那个用于庆祝生日的服务现在已经被关闭了。 当这种情况发生时，该子域可能仍然拥有指向该子域的DNS信息，但实际上并没有任何内容或网站被托管在该子域上。

他们会安装自己的数字主机，实际上就是把他们的设备接入到你的电源插座上。如果他们成功了的话，他们就可以为你的子域名提供内容服务了。

为什么会这样呢？

在配置过程中

假设您正在为您的领域创建一个博客，比如 blog.example.com。您登录到该子域名，配置DNS数据，然后与您的网站托管公司一起创建虚拟主机。但是，如果托管服务提供商不认真验证您的所有权，那么攻击者就可以抢先一步获取控制权。他们可以提前创建自己的虚拟主机，而您则无法及时察觉。真是狡猾啊！

结果：一旦你安装了DNS服务，攻击者的内容就会接管你的子域名。

在资源重新分配过程中

现在，假设你决定关闭你的博客。你删除了虚拟主机，但是忽略了删除指向网站托管服务的DNS记录。攻击者就利用了这个机会。他们为你的子域名创建一个新的虚拟主机，然后开始将他们的内容托管在该虚拟主机上。

结果：现在，您的子域名已经属于他们了。

资源分配与取消资源分配

在IT管理中，资源配置与资源回收是非常重要的环节。尤其是在管理云环境中的资产、人员以及服务时，身份管理以及软件系统方面，这一点尤为重要。

配置/设置

“Provisioning”指的是为用户或设备配置相关资源、功能或权限的过程。它包括对必要资源的引入、配置以及分配，从而确保用户或设备能够顺利执行各种任务。Provisioning的目的是确保用户或设备拥有实现高效且安全运作所需的一切条件。

供应方式/类型

用户配置/分配

• 创建用户账户：在组织的计算机系统中创建新的用户账户（例如，在Active Directory或云服务中）。
• 分配角色与权限：根据消费者的角色，明确他们可以获取哪些信息来源和记录。
• 设置访问控制机制实施密码管理规范，采用多因素认证机制。MFA此外，它还具有不同的安全功能。

基础设施供应

• 服务器供应：部署新的服务器，无论是物理服务器还是数字服务器，同时配置必要的操作系统和软件包。
• 网络供应配置/设置路由器, 开关，以及防火墙为了确保社区内的交流能够顺利进行。
• 云资源供应：在云基础设施上分配各种资源，比如计算能力、存储空间以及网络连接（例如AWS、Azure、Google Cloud）。

软件供应

• 安装应用程序：在服务器或工作站上部署软件程序。
• 配置软件设置：调整各种设置，以满足用户或不同部门的具体需求。

提供服务的关键步骤

• 规划请确定需要提供哪些服务或内容，并决定所需的功能或特性。
• 自动化（可选）：可以使用脚本或工具来自动化配置过程，尤其是在大规模环境中。
• 执行：部署并配置所需的资源或工具。
• 验证/确认确保整个系统能够按照预期运行，且所有资源都能被访问，并且配置也是正确的。
• 文档资料：记录下已配置的内容、谁有访问权限，以及为方便日后参考而进行的任何配置信息。

撤销访问权限/不再提供访问服务

“Deprovisioning”则是一种相反的机制。在这种机制下，不再需要或不再被需要的资产、服务或人员会被移除或禁用。这一机制对于确保系统的安全性和资源利用效率至关重要。

去配置的类型

用户去配置操作

• 禁用用户账户：当员工离开公司或不再希望拥有访问权限时，可以关闭该用户的账户。
• 撤销访问权限：需要获得对敏感结构和统计数据的访问权限。
• 删除用户数据：根据存储需求，某些个人信息可能需要被存档或删除，以节省存储空间并遵循数据保护的相关规定。

基础设施的重新分配/撤销供应

• 关闭服务器：关闭那些不再需要的服务器。
• 重新利用资源：释放已分配的资产，比如……IP地址此外，还提供了存储能力和计算能力，供其他用途使用。
• 关闭云实例：终止云实例，以停止计费并降低开支。

软件去配置操作

• 卸载应用程序：现在，从服务器或工作站上移除那些软件程序已经不再有必要了。
• 撤销软件许可证：停用或回收那些不再被使用的软件程序的许可证。

取消服务的关键步骤

• 识别资源需要确定哪些资产或债务应当被淘汰或停止使用。
• 备份与归档（可选）：在将数据从系统中移除之前，请先备份所有必要的数据，以确保没有任何重要信息被丢失。
• 停用/移除：禁用或消除这些来源，确保它们现在已不再存在。
• 资源重新分配：释放这些资产，使其能够被重新使用或根据需要进行重新分配。
• 文档资料记录下已不再提供的物品，并替换所有相关的文件或库存清单。

请定义所有主要的术语/词汇。

子域的收购

所谓“子域接管”，指的是攻击者获取或操控与目标域名相关的子域的过程。

事情的发展过程是这样的：

• 想象一下，你有一个主域名（例如：example.com），同时还有多个子域名（例如：weblog.example.com、api.instance.com等）。
• 有时候，这些子域名会被遗忘或无人使用。不过，它们仍然可能拥有指向这些子域名的DNS记录，但实际上并没有任何内容或服务器资源分配给这些子域名。
• 攻击者会注意到这些被忽视的子域名，于是他们就会将自己的个人虚拟主机设备接入到你的网络接口上（即把他们的设备连接到你的电源插座上）。
• 如果成功了的话，他们就可以将自己的个人内容放在你的子域名上。不过，这样做可能会带来一些安全问题，比如cookie被盗等问题。网络钓鱼或者，可以称之为“内容覆盖的规避方式”。
• 从比喻的角度来看，子域就像电器零售商一样：如果你拔掉了某个设备的电源插头（即关闭了虚拟主机的连接），那么其他人就可以再插上电源插头。因此，应该切断子域的电源供应，以防止那些擅自占用子域的人进行破坏行为！

域名劫持

域名劫持指的是攻击者在没有得到授权的情况下，控制整个域名（而不仅仅是子域名）。这种行为意味着攻击者可以未经企业同意而拥有该域名的控制权。这种情况可能会导致严重的安全问题以及运营上的麻烦。

悬挂的DNS记录

这些就是那些与已不存在或已被撤销的资源相关的DNS数据。在子域接管的情况下，CNAME记录中的信息特别容易出现DNS问题。

它是如何工作的呢？

子域劫持是一种安全漏洞，攻击者通过利用DNS配置错误来操控企业的子域。这种情况发生在子域在DNS设置中仍然处于激活状态的情况下，但该子域实际上指向的是闲置或已停止使用的云服务器或外部资源。

子域的接管是如何进行的呢？

• 识别子域名：攻击者首先会识别出与目标区域相关的所有子域名。他们使用各种工具来探测这些子域名，并判断它们是否连接了任何能源或资源。
• 检测漏洞：攻击者会寻找那些指向已停止服务的子域名，比如那些仍然保留着有效DNS记录的云服务。这种情况可能发生在企业忘记在删除相关服务后清除相应的DNS记录时。
• 重新注册该资源：一旦发现了一个易受攻击的子域，攻击者就会以与原始服务器相同的方式，为该子域注册一个新的辅助服务器（例如，AWS S3存储桶）。通过这种方式，他们可以轻松地控制该子域，因为DNS记录仍然指向那个辅助服务器。
• 设置子域名：攻击者可以配置新注册的服务，使其能够响应对子域的请求。这样，他们就可以像子域的真正所有者一样，来托管内容、引导访问者，或者执行其他操作。
• 剥削：通过控制该子域，攻击者可以实施各种恶意行为。这些行为可能包括：托管钓鱼网站、植入恶意软件，或者冒充公司来窃取用户的凭据或传播恶意内容。
• 重要性：高效的工作流程能够提升生产效率，减少错误，并促进团队协作。