DNS严重漏洞曝光 谁将面临真正的风险

专家称,虽然新的DND缓存中毒问题是非常严重的,但是,DNS以前一直受到威胁.这个互联网域名服务器系统的核心架构仍准备应付这种挑战.

VeriSign首席技术官Ken Silva说,我们几年前就预计这种对DNS的攻击在理论上是可能的.这起事件并不是第一起缓存中毒事件.在90年代末就出现过许多类似的事件.

IOactive公司入侵测试经理Dan Kaminsky报告称,DNS的一个设计漏洞可能导致缓存中毒攻击.随后就出现了大量的有关DND安全漏洞的报道.

　　这种攻击可能导致一台DNS服务器崩溃.因此,最终用户将重新路由到一个黑客选择的网站.例如,一个用户输入了谷歌的网址Google.com,但是,最终却来到了黑客选择的网站.

　　Kaminsky解释说,这个安全漏洞可能中断互联网的运营.

　　虽然大多数业内人士认同这个安全漏洞是危险的,但是,他们还表示这个安全漏洞的影响也许没有人们担心的那样严重.

　　这个安全漏洞并非影响到所有类型的DNS服务器.VeriSign等公司运行的授权名称服务器就没有这种风险,而互联网服务提供商和企业中使用的递归查询服务器就存在这种风险.

　　Silva说,VeriSign公司的Atlas服务器从来不会受到攻击.他指的是用于.com和.net域名的主要DNS服务器.VeriSign根据与ICANN签署的多年协议管理这些服务器.

　　Silva解释说,DNS是一种分层次的系统.这就意味着它存在许多层的问题.我们不提供网站的地址,例如,www.microsoft.com.我们提供一个答案,提供拥有这个信息的服务器的名称.

　　域名注册公司GoDaddy的首席技术官Neil Warner称,该公司的域名用户不受这个DNS缓存中毒安全漏洞的影响.

　　不过,专家警告称,不要低估这个问题的影响.《DNS and BIND Cookbook》一书的作者、Infoblox公司副总裁Cricket Liu说,我并不认为他们的说法有些言过其实.这个问题似乎是我们已经知道的一些问题的变体.我们知道DNS中的信息ID只有16个字节不够长度.如果硬让我猜测的话,我会说Dan Kaminsky发现了一种更有效的利用缺少随机性的方法.

　　这个问题是这样产生的.许多DNS服务器根据设置接收任何人的递归名称查询.Infoblox在2007年的一项研究中发现,一半以上的DNS服务器都允许递归查询.如果设置恰当,一个递归缓存服务器有助于减少与DNS查询有关的网络通讯量.

　　例如,如果一个企业有3万台机器,所有这3万台机器都要查询一个网站在什么地方.通过向一台递归查询服务器查询,只有一个机器提出询问然后把这个信息缓存下来就可以了.

　　但是,专家们说,不应该单方面允许递归查询,因为这些递归查询能够被用来把查询请求转移到其它DNS服务器,从而引起DNS中毒攻击.理想的情况是,互联网服务提供商和企业应该仅向自己内部环境中的用户提供应答信息,而不是向整个互联网上的用户提供这种应答信息.

　　Infoblox公司的Liu说,当我们考察提供递归查询的DNS服务器的时候,我们应该找不到任何这种服务器.那是因为你仅是一个随机的用户.应该提供递归信息的唯一的人是我们自己名称的服务器.

　　Liu说,即使采用一台设置正确的递归查询DNS,仍有可能遭遇DNS中毒的风险.如果你知道邮件服务器“A”使用名称服务器“B”,那么,你通过那个邮件服务器使用一个精心之作的电子邮件仍可能猜测出如何利用那个邮件服务器向那个名称服务器发递归查询请求.

　　因此,虽然Kaminsky披露的DNS中毒问题不能影响到所有的DNS服务器,但是,这个问题能够影响到大多数DNS服务器.

　　因此,一些厂商正在采取措施应对这种威胁.微软在其补丁星期二为其DNS服务器发布了一个补丁.

　　思科发言人Kevin Petschow称,四种思科的产品存在这种安全漏洞,因为这些产品能够像DNS服务器一样工作并且拥有DNS实施的弱点.这些弱点很容易让一些类型的缓存中毒攻击得逞.

　　思科的竞争对手Juniper Networks也对自己有安全漏洞的产品发布了安全公告.Juniper Networks安全事件反应小组组长Barry Greene说,大多数路由器和交换机都在DNS系统的端点,不会成为这种安全漏洞的目标.它们是这个安全漏洞的受害者,因为这些路由器用来查询的DNS 服务器可能会中毒.

　　互联网系统协会(ICS)也发布了开源软件BIND服务器的升级版本.这个服务器软件广泛应用于Unix和Linux系统中.

　　据Infoblox公司的Liu说,除了厂商的努力之外,修复有安全漏洞的系统还需要人类的一些干预.他说,有些事情你必须自己做.由于Linux相对简单一些,但是,它至少需要一点关机时间.

　　由于当前的DNS中毒问题是当作安全风险曝光的,最终的结果将改善整个安全状况.关于这个问题如果说有什么好事的话,那就是再一起强调了DNS 的问题.我希望人们能够利用这个机会查看一下自己的DNS基础设施,保证这些DNS基础设施设置正确.作为使用补丁的副产品,你将得到比较新的更安全的代码.这肯定是一件好事.