IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 由DNS漏洞引發(fā)的Web安全思考

由DNS漏洞引發(fā)的Web安全思考

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  DNS是大多數(shù)互聯(lián)網(wǎng)服務(wù)核心,然而DNS中卻也存在漏洞。通常如果DNS出現(xiàn)問題的話,每個網(wǎng)站都可能發(fā)生故障,而且所有的電子郵件也將不知去向,問題會很嚴(yán)重。

  DNS(域名系統(tǒng))是大多數(shù)互聯(lián)網(wǎng)服務(wù)核心,然而DNS中卻也存在漏洞。通常如果DNS出現(xiàn)問題的話,每個網(wǎng)站都可能發(fā)生故障,而且所有的電子郵件也將不知去向,總之,問題會很嚴(yán)重。你可能已經(jīng)在很多媒體報道中聽聞過這件事,華爾街日報,BBC新聞,以及一些媒體界地位顯赫的人也在報道這則消息,甚至連SecurityFocus也不例外。具體來說,主要談?wù)摰氖且韵聠栴}:

  1 在很多平臺中都有一個漏洞

  2 在很多平臺中都有完全相同的漏洞(設(shè)計上出現(xiàn)的漏洞總讓人很頭痛)

  3 經(jīng)過我們不懈的努力,終于得到了所有主要平臺的漏洞補丁,并且?guī)缀跏窃谕惶臁?/p>

  4 這在之前并未發(fā)生過。所有的一切真正地得到了控制。

  對于我們在漏洞問題上獲得的成就我感到相當(dāng)自豪。我們有Windows,我們有Cisco IOS,我們有Nominum,我們還有BIND 9,而且當(dāng)我們沒有BIND 8時,我們還有Yahoo--大家所知道的最大的基于BIND 8建設(shè)的網(wǎng)站,而Yahoo公開承諾將完全屏棄BIND 8。

  CERT(Computer Emergency Response Team,是由美國聯(lián)邦政府資助專門研究計算機及網(wǎng)絡(luò)安全的組織,他們隨時提供最新發(fā)現(xiàn)的計算機及網(wǎng)絡(luò)安全問題,并提供一些解決方法)為我們的工作提供了很多詳細(xì)信息,并且我和Rich Mogull對于Securosis問題進行了全面的探討。對于普通讀者來說,你們可能想要獲取更多更完整的資料,不過這里所談的東西也有限,但我確實有些東西想告訴大家。

  我們完成的工作真的是意義重大。

  要強調(diào)的是我們!而不是我個人,因為我自己一個人是不可能完成這個巨大工程的。

  首先要感謝的是Paul Vixie,一個大家所熟知的組織機構(gòu),長期以來維持著互聯(lián)網(wǎng)上最流行的DNS服務(wù)器。PAUL能夠?qū)⑽覀兯枰墓こ處熅奂饋恚餐鉀Q這個問題。我們需要 Florian Weimer, 從歐洲遠(yuǎn)道而來.我們需要David Dagon, Jinmei Tatuya, 以及Wouter Wijngaards. 我們還需要Microsoft, Cisco, Nominum, Neustar, 以及OpenDNS.Paul都做到了。

  當(dāng)然我們也少不了CERT的幫助。

  我們進行了有趣的探討,雖然期間出現(xiàn)了很多分歧,但是慢慢地也開始達(dá)成很多共識。在對很多方法進行評估后,其中最好的方法也逐漸清晰出來,我必須承認(rèn),這讓PAUL著實有些尷尬。

  DJB是正確的。在很多年前,Dan J. Bernstein就是正確的:源端口隨機化應(yīng)該要在生產(chǎn)使用中成為每一個域名服務(wù)器必須具備的標(biāo)準(zhǔn)。

  在我工作的過程中有一句這樣的話一直指導(dǎo)著我前行:運氣是設(shè)計的殘余物質(zhì)。Dan Bernstein無疑是一個特別幸運的程序員,但是這也并非偶然。這位程序?qū)<乙砸环N十分自然的方式進行著他的系統(tǒng)工程,就像生命和呼吸一樣自然的方式,這是置身于混亂代碼中的我渴望的一種工作方式。從這點來看他是"幸運的",他成功地讓自己免受那些幾乎從未遇到過的攻擊的襲擊。

  而這才是真正優(yōu)秀設(shè)計的標(biāo)志,優(yōu)秀的設(shè)計可以讓你免受那些你完全不知道的事物的困擾,所以我們正在部署這種優(yōu)秀設(shè)計來提供各種信息。

  為了讓大家能夠更好地理解這個修復(fù)補丁,我們可以這樣來理解,想象一下從匿名用戶到身份驗證用戶處產(chǎn)生的大量WINDOWS RPC,或者只是管理員。只要聯(lián)想一下WINDOWS XP SP2。從設(shè)計的角度來看,這像是一個大斧子,它能夠切斷所有攻擊面,而不需要說明原因。通過一個適當(dāng)?shù)男扪a程序,甚至連微乎其微的漏洞都能夠很容易隱藏,或者變得無關(guān)緊要。

  當(dāng)然,很顯然會有一些新的問題出現(xiàn),一些最終將會被發(fā)現(xiàn)的問題。還是存在很多漏洞程序,這些漏洞程序不僅僅容易受到新的漏洞的攻擊,即使是對于那些存在多年的漏洞仍然沒有辦法。如果我們做出的所有努力能夠?qū)⒛切├_我們很久的BIND 8漏洞從互聯(lián)網(wǎng)中清除,如果我們能夠完全消除Joe Stewart于2002年制造的生日攻擊,如果我們能夠?qū)τ贏mit Klein去年發(fā)現(xiàn)的Transaction ID Randomness開始作出一些努力,如果DJB多年前警告過我們的靜態(tài)斷口分配問題能夠解決,那么我們就獲得了巨大的勝利。

  新問題之所以如此嚴(yán)重是有原因的,但是我認(rèn)為理性的人應(yīng)該會同意這樣的說法,那就是,即使只是舊的漏洞,都將成為互聯(lián)網(wǎng)安全的巨大威脅。所以,我想請問開放研究社區(qū),假設(shè)我什么都沒有發(fā)現(xiàn),假設(shè)這只是一個噱頭,只是想引起人們對JOE和AMIT以及DJB等問題的重視,以及給網(wǎng)絡(luò)掃描器一個透明的清晰的環(huán)境,讓人們知道可信的好的服務(wù)器是怎樣的。

  Joe 和Amit 特別是 DJB做了一些讓我們難以置信的事情 ,我從中看到了最可怕的一面,但是他們的漏洞最終還是被修復(fù)了,并且至今還沒有出現(xiàn)問題。

  對于那些不會作出這樣假設(shè)的人,我有一個請求,一個不尋常的請求,可能也是不合理的請求,但是我還是要問。

  我要你們探索DNS,我希望你們能嘗試建立類似的漏洞,來找出可能出現(xiàn)的問題。也許我漏掉了一些東西,希望你們能把我漏掉的部分補充上來,那么我們就能盡快地解決它。真的希望你們能和我一起努力把所有問題都解決掉。同樣,我一直都想能夠讓我的家人安全地使用互聯(lián)網(wǎng),我不奢望永遠(yuǎn)的安全,我只要哪怕三十天。我已經(jīng)盡自己全力去獲取有效補丁,不管是哪種平臺。但是代碼總是不能自身安裝。當(dāng)我不在場的時候,希望你們能幫助我一起將所有這些舊的或新的漏洞從互聯(lián)網(wǎng)中清除,以保障公共論壇和IRC頻道的正常秩序。我們很好奇,我們想知道問題是如何產(chǎn)生的。但是當(dāng)公眾需要哪怕一次修復(fù)這些漏洞的機會,從一個十分自私的角度來說,我還是有點希望我的thunder不會被完全清除。

關(guān)鍵詞標(biāo)簽:DNS漏洞,Web安全

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會!了解交換機控制端口流量