在最近发布的“近三十天的域名系统攻击行为”分析报告中,Arbor网络提供了关于更多的细节,安全培训与研究机构SANS证实了著名黑客H·D·穆尔发布的攻击代码被利用在对美国电话电报公司域名系统服务器进行的缓存攻击行为中。来自许多本地网络的消息都显示,域名系统缓存攻击开始蔓延。
| client 143.215.143.11 query (cache) ‘www.ebay.com/ANY/IN’ denied: 31 Time(s) client 143.215.143.11 query (cache) ‘www.facebook.com/ANY/IN’ denied: 30 Time(s) client 143.215.143.11 query (cache) ‘www.gmail.com/ANY/IN’ denied: 30 Time(s) client 143.215.143.11 query (cache) ‘www.google.com/ANY/IN’ denied: 30 Time(s) client 143.215.143.11 query (cache) ‘www.live.com/ANY/IN’ denied: 30 Time(s) client 143.215.143.11 query (cache) ‘www.microsoft.com/ANY/IN’ denied: 30 Time(s) client 143.215.143.11 query (cache) ‘www.msn.com/ANY/IN’ denied: 30 Time(s) client 143.215.143.11 query (cache) ‘www.myspace.com/ANY/IN’ denied: 30 Time(s)” |
你对此感到惊讶么?反正我是一点也不,这是相当合乎逻辑的,因为这三个公开提供的攻击代码在过去几天里已经有了超过一万五千次的下载。我感到惊讶的其实是,过了这么长的时间才有一个小组这么做。尽管媒体已经提醒过需要加强重视,但不论是大的国际的还是本地互联网服务供应商仍然都很脆弱。讽刺的是,即使它们已经安装了相关的补丁,也还是很脆弱。不安全的和错误的域名系统服务器,将继续成为一个现实的威胁,即使在Web 2.0的世界中也不例外。
早在2004年进行的一项关于域名系统的安全调查就表明:
“对于域名系统服务器的调查显示。在所有166771台域名服务器中,有27141台服务器存在已知的漏洞。这些漏洞可以影响185002个域名。认为17%脆弱的域名服务器只会影响17%的域名的想法是天真的。结果显然不是如此。信任关系会将“毒药”通过每一个不安全的域名服务器进行传播。因此,有34%的域名服务器会被用来进行著名的脚本攻击。”
而早在2005年发布的另一份关于域名系统安全的研究报告则显示,84%的互联网域名服务器可以被方便的转发欺骗攻击。即使进行比较保守的估计,也可以相信在三年后,至少还有50%以上的互联网域名服务器仍然很脆弱。下面,我们看一下,Infoblox去年关于域名系统安全的统计调查报告显示了什么样的结果:
“仍然有百分之五十以上的互联网域名服务器支持进行递归查询,这和2006年的结果一致。支持来自任意地址的递归查询,可以导致攻击者从域名系统服务器发出大量的DoS拒绝服务攻击,也容易受到缓存中毒攻击。支持层递(transfer zones)的域名服务器略有增加,从29%上升到31%。但这个变化也可能是内部调查的抽样误差造成的,这说明,这方面的安全状况并没有改善。改变BIND 9操作系统的默认设置对于域名服务器安全可能有帮助
(改变BIND 9.4操作系统的默认递推设置就是一个不错的选择)。
此外,麻省理工学院的虚拟IP项目自从2005年诞生以来,一直在自动生成关于全球各地的国家域名服务器的安全情况的图示,并且对具有易感性的IP欺骗给予了特别关注。最近关于脆弱性的讨论实际上炒作的成分很大,域名系统缓存攻击行为已经存在了很多年,在近期也不会有消失的迹象。
最重要的是,恶意攻击者不需要利用这个漏洞,也可以通过日常分析,成功地进行网络犯罪。在多年的漠视后,不可能在短短的几天内解决问题。在这之前,需要对局势进行控制,检查你的互联网服务供应商正在运行的域名服务器是否容易遭到缓存攻击,清除可能被恶意攻击者用来进行攻击的漏洞。
