近來�,網(wǎng)絡(luò)上出現(xiàn)史上最強(qiáng)大的互聯(lián)網(wǎng)漏洞——DNS緩存漏洞,此漏洞直指我們應(yīng)用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng),而安全性差的根源在于設(shè)計(jì)缺陷��。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁���,重則是網(wǎng)絡(luò)釣魚和金融詐騙,給受害者造成巨大損失����。
緩存中毒攻擊者(cache poisoning)給DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址,如果服務(wù)器接受這個(gè)非法地址��,那說明其緩存就被攻擊了��,而且以后響應(yīng)的域名請(qǐng)求將會(huì)受黑客所控��。當(dāng)這些非法地址
進(jìn)入服務(wù)器緩存��,用戶的瀏覽器或者郵件服務(wù)器就會(huì)自動(dòng)跳轉(zhuǎn)到DNS指定的地址�。
這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會(huì)導(dǎo)致出現(xiàn)很多嚴(yán)重問題���。首先�,用戶往往會(huì)以為登陸的是自己熟悉的網(wǎng)站����,而它們卻并不是�。與釣魚攻擊采用非法URL不同的是��,這種攻擊使用的是合法的URL地址����。
另外一個(gè)問題是,成百上千的用戶會(huì)被植入緩存中毒攻擊的服務(wù)器重定向����,引導(dǎo)至黑客設(shè)立的圈套站點(diǎn)上。這種問題的嚴(yán)重性��,會(huì)與使用域名請(qǐng)求的用戶多少相關(guān)���。在這樣的情況下��,即使沒有豐富技術(shù)的黑客也可以造成很大的麻煩���,讓用戶稀里糊涂的就把自己網(wǎng)銀帳號(hào)密碼,網(wǎng)游帳號(hào)密碼告訴給他人�����。
用這種類似的方法,郵件系統(tǒng)也會(huì)受到黑客攻擊���。只不過不是給web服務(wù)器���,而是給郵件服務(wù)器非法地址,從而讓系統(tǒng)引導(dǎo)至受到控制的郵件服務(wù)器中�。
那么,黑客究竟是怎么做到使緩存服務(wù)器接受非法地址呢��?當(dāng)一個(gè)DNS緩存服務(wù)器從用戶處獲得域名請(qǐng)求時(shí)����,服務(wù)器會(huì)在緩存中尋找是否有這個(gè)地址�����。如果沒有�����,它就會(huì)上級(jí)DNS服務(wù)器發(fā)出請(qǐng)求���。
在出現(xiàn)這種漏洞之前��,攻擊者很難攻擊DNS服務(wù)器:他們必須通過發(fā)送偽造查詢響應(yīng)���、獲得正確的查詢參數(shù)以進(jìn)入緩存服務(wù)器���,進(jìn)而控制合法DNS服務(wù)器。這個(gè)過程通常持續(xù)不到一秒鐘�����,因此黑客攻擊很難獲得成功��。
但是����,現(xiàn)在有安全人員找到該漏洞,使得這一過程朝向有利于攻擊者轉(zhuǎn)變�。這是因?yàn)楣粽攉@悉,對(duì)緩存服務(wù)器進(jìn)行持續(xù)不斷的查詢請(qǐng)求��,服務(wù)器不能給與回應(yīng)��。比如�,一個(gè)黑客可能會(huì)發(fā)出類似請(qǐng)求:1q2w3e.google.com,而且他也知道緩存服務(wù)器中不可能有這個(gè)域名�����。這就會(huì)引起緩存服務(wù)器發(fā)出更多查詢請(qǐng)求,并且會(huì)出現(xiàn)很多欺騙應(yīng)答的機(jī)會(huì)����。
當(dāng)然,這并不是說攻擊者擁有很多機(jī)會(huì)來猜測(cè)查詢參數(shù)的正確值����。事實(shí)上,是這種開放源DNS服務(wù)器漏洞的公布����,會(huì)讓它在10秒鐘內(nèi)受到危險(xiǎn)攻擊�����。
要知道���,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大��,因?yàn)闆]有人會(huì)發(fā)出這樣的域名請(qǐng)求�,但是���,這正是攻擊者發(fā)揮威力的地方所在�����。通過欺騙應(yīng)答����,黑客也可以給緩存服務(wù)器指向一個(gè)非法的服務(wù)器域名地址,該地址一般為黑客所控制��。而且通常來說�,這兩方面的信息緩存服務(wù)器都會(huì)存儲(chǔ)。
由于攻擊者現(xiàn)在可以控制域名服務(wù)器���,每個(gè)查詢請(qǐng)求都會(huì)被重定向到黑客指定的服務(wù)器上�����。這也就意味著��,黑客可以控制所有域名下的子域網(wǎng)址:www.bigbank.com���,mail.bigbank.com,ftp.bigbank.com等等����。這非常強(qiáng)大��,任何涉及到子域網(wǎng)址的查詢�,都可以引導(dǎo)至由黑客指定的任何服務(wù)器上����。
如何應(yīng)對(duì)?
為了解決這些問題����,用于查詢的UDP端口不應(yīng)該再是默認(rèn)的53,而是應(yīng)該在UDP端口范圍內(nèi)隨機(jī)選擇(排除預(yù)留端口)
但是���,很多企業(yè)發(fā)現(xiàn)他們的DNS服務(wù)器遠(yuǎn)落后于提供網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation ����,NAT)的各種設(shè)備�。大部分NAT設(shè)備會(huì)隨機(jī)選擇NDS服務(wù)器使用的UDP端口��,這樣就會(huì)使得新的安全補(bǔ)丁會(huì)失去效果��。IT經(jīng)理也不會(huì)在防火墻中開放全方位的UDP端口����。更嚴(yán)重的是��,有安全研究員證明���,即使提供64000UDP端口中隨機(jī)選擇的保護(hù),DNS服務(wù)器也照樣有可能受到中毒攻擊����。
現(xiàn)在是時(shí)候考慮保護(hù)DNS的其他方案了。UDP源端口隨機(jī)化選擇是一種比較有用的防護(hù)舉措�����,但是這會(huì)打破UDP源端口隨機(jī)化給與DNS服務(wù)器的保護(hù)���,同由此全方位開放端口面臨的風(fēng)險(xiǎn)或者降低防火墻性能這兩者間的平衡關(guān)系�����。還有一種比較有效的防護(hù)措施就是�����,當(dāng)檢測(cè)到面臨潛在攻擊風(fēng)險(xiǎn)時(shí)�,讓DNS服務(wù)器切換到使用TCP連接。
如果攻擊者猜測(cè)到了必要的參數(shù)以欺騙查詢響應(yīng)��,那么就需要額外的防御措施了�。這意味著DNS服務(wù)器需要更智能化,能夠準(zhǔn)確分析每個(gè)查詢響應(yīng)��,以便剔除攻擊者發(fā)送的非法應(yīng)答中的有害信息���。
關(guān)鍵詞標(biāo)簽:原理,攻擊,中毒,了解,
提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決
IS-IS同時(shí)下發(fā)缺省路由出現(xiàn)路由環(huán)路問題的解
IBGP鄰居無法建立連接問題的解決方法
對(duì)稱結(jié)構(gòu)承載網(wǎng)流量出現(xiàn)異常問題的故障解決