安全的盲区----失效的DNS解析记录

1、一个日常工作中经常出现的场景

假如A公司起步时，将全部服务器放置于云主机上。

其中一个业务为java.farmsec.com,随着这家公司的业务扩大以及调整，一段时间以后，公司老大发现java救不了中国人，随后直接关闭了Java的服务器。

那么请问会有安全风险吗？

2、DNS的原理

DNS原理大概如上图所示

网域名称系统（英文：Domain Name System，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。

上图描述缺少了一个迭代的过程，但大致是这个原理，DNS可以实现IP与域名相互映射的功能。也就是说，一个域名，可能对应一个/多个IP地址。一个IP也可以对应一个/多个域名。

如下图所示，我们去指定一个域名的IP地址。

Ping一下，可以看见，这个域名成功解析到了这个IP地址。

3、回到初始的那个场景中

我们实际上在清除整个业务的过程中，遗留了一条DNS的解析记录。

虽然这个IP已经无法访问。

但是，如果攻击者申请同样云主机服务商，并且拿到了这个IP地址后，攻击者将会完善整个网站的访问流程。

攻击者在一段时间内，将会完全依照域名所有者的身份进行活动。那么他可以：

1 构造钓鱼页面，例如新业务上线，构造登录界面，引诱用户访问，抓取用户名密码。

2 对企业内部员工进行钓鱼，高持续APT攻击的起点。

3 制作色情 菠菜网站，享受企业的SEO红利。

4 针对互联网金融行业，伪造高福利项目，引诱转账操作。