歡迎光臨
我們一直在努力

DNS漏洞防不勝防 管理員應高度重視

容器云強勢上線!快速搭建集群,上萬Linux鏡像隨意使用

日前IOActive的安全研究員Dan Kaminsky揭露了一個DNS安全漏洞,由于這是基于DNS本身的設計而造成的安全漏洞,Kaminsky日前在自己的部落格上這樣寫著:「現在放出的修補程序雖然有辦法讓攻擊難度提高個幾千倍,但是還是無法根本的解決這個問題。

  惡意攻擊者將有辦法透過這個漏洞來假冒DNS主要服務器(DNS Master Server),將使用者導向惡意攻擊者假冒的網頁。由于使用者端輸入的網址是正確的,所以使用者會在毫無警覺性的狀況下誤入惡意網站,因而泄漏出各種個人數據,或是直接在假冒的網頁被植入木馬或是其它惡意程序。

  DNS網域劫持,可以影響所有網站

  由于這個漏洞最主要的問題是發生在DNS本身的設計上,這也使得所有的網站都有可能受到此一漏洞的影響。DNS全名是(Domain Name Service),是負責網址轉譯的機制,將網址轉譯為計算機可以識別的數字地址。舉例來說,使用者如果在瀏覽器上輸入一串「www.xxx.com」的網址,透過DNS轉譯,會成為像「192.168.255.255」這樣的IP地址,讓服務器和終端計算機可以識別,把使用者的流量導到正確的網站。

  一般來說,整個DNS運作的流程是這樣的,DNS服務器存有網域名稱比對的數據,當使用者要瀏覽某個網站時,計算機會發出一個UDP協議的請求到本地端的緩存DNS服務器(一般是電信商的緩存DNS服務器),等候緩存DNS服務器比對這個請求,如果緩存DNS服務器里面存有該網站地址的記錄,就會把正確的網站IP地址轉送給終端計算機,引導使用者連上正確的網站。若緩存DNS服務器沒有此一地址,它會再進一步查詢上一層的根目錄DNS服務器或主要DNS服務器,找尋正確的地址,然后響應給使用者,引導進入正確的網站。緩存DNS服務器會將查詢過的地址暫存下來,加快使用者連網時比對DNS的速度。

  由于UDP協議在設計上,不像TCP協議一般,包含有響應方與來源方的信息,在這樣的狀況下,DNS機制為了比對是由哪一臺服務器發出查詢的請求、哪一臺服務器發出響應,會利用連接端口和一個稱為TXID的16位識別碼,作為聯機辨識的依據,如此一來,即便2臺DNS服務器使用相同的對外連接端口,也能透過TXID辨識出是由哪一臺DNS服務器發出查詢的請求。

  由此可知,TXID的識別對于DNS機制來說,非常重要,可以說是DNS服務器在查詢時辨識其它服務器響應的主要依據,而此次被發現的漏洞,正是TXID這種設計本身的不足所造成。因為TXID本身只有16位的長度,惡意攻擊者只要假造UDP封包的來源,欺騙使用者的暫存DNS服務器,就可以把該暫存DNS服務器下的所有使用者(數千,甚至是數萬臺終端計算機)流量,轉至任何他想轉到的網頁。

  要欺騙暫存DNS服務器,惡意攻擊者只需要做到2件事。一是設法讓暫存服務器發出對外查詢的請求;其二則是取得回應DNS服務器的TXID。第一點可以透過很多方式做到,第二點則就是本次發現漏洞的重點。

  Dan Kaminsky發現,攻擊者可以用猜的。攻擊者只要在真的DNS服務器發出回應給暫存DNS服務器之前,發出大量的UDP封包,逐號猜測TXID,猜中了,就能假冒成響應查詢的DNS服務器,劫持網域,然后就能為所欲為了。以16位的長度來計算,這代表每一個攻擊者發出的偽造UDP響應,都有65335分之1的機會猜中(但實際上,如果DNS服務器使用固定的連接端口,則攻擊者成功的機會就更高)。也因為這是利用DNS設計上的漏洞,無論暫存DNS服務器使用的是哪一種DNS服務器軟件,多數都會受到這種攻擊的影響。

  還有5成DNS服務器未更新,企業可自行檢測

  相關人員表示,這種劫持網域的攻擊手法,并不是新的攻擊手法,但是隨著此一漏洞被發現,黑客組織已經釋出了攻擊的程序,讓惡意使用者能以更簡易的方式進行TXID的猜號,這的確是一個隱憂。

  由于這種攻擊手法耗時良久,攻擊者也必須偽造大量的UDP響應,目前還沒有聽過有傳出任何災情。他表示,企業如果想要防范這種攻擊方式,可以安裝各家DNS服務器廠商所放出的更新,安裝更新將會大幅減少被此種手法攻下的機會,比如說動態TXID、隨機連接端口等機制。

  此外,企業提供的網絡服務,如果沒有透過暫存服務器,也不會受到影響。

  不過,雖然更新已經釋出,但更新的速度似乎并沒有想象中快。

  Dan Kaminsky在7月初發表此一漏洞,根據他7月底在部落格上發表的追蹤文章,目前全球至少還有52%的DNS服務器沒有透過更新來遏止此一漏洞。

  那么,企業本身到底能做些什么呢?難道只能被動的等待ISP更新其DNS服務器?事實上,包括DNS-OARC、DNSstuff.com、Kaminsky網站,都已經提供在線的DNS漏洞檢測工具,企業可以透過這些工具檢查自己網絡服務所使用的DNS服務器是不是還未更新,進而要求服務商更新,或是更新自己的DNS服務器。

  企業可先將內部使用的服務器更新,要完全杜絕需靠DNSsec

  此外,企業除了透過在線檢測DNS漏洞工具檢查,進而要求網絡服務商或企業內部負責DNS服務器的人員更新外,企業內部的服務器也可以先做相關的更新。以微軟為例,7月8日時就已經放出了包括Windows 2000、XP、Server 2003、Server 2008等系統平臺的更新,微軟的DNS服務器使用者可以直接使用Microsoft Update進行更新,單獨更新則可安裝MS08-037的安全修補程序;ISC BIND的DNS服務器使用者,可以更新至9.5.0-P1版本;RedHat、Fedora linux等DNS服務器的使用者,則可以直接透過yum update更新。除了這些廠商之外,多數的DNS服務器廠商也都已經推出更新,可以直接與廠商連系,尋求修補程序。

  要完全杜絕此一漏洞,現在看來安裝DNSsec(DNS安全性擴充)會是一個好方案,DNSsec是一個針對DNS傳送網域數據做金鑰加密的擴充通訊協議,在DNSsec的規范中,每個區域都有用來加密與解密數字簽章的私密金鑰與公開金鑰,用這樣的方式,沒有擁有金鑰的惡意攻擊者,即便用上述的攻擊手法,也無法成功的假冒主要DNS服務器,這將能有效杜絕這種猜號的攻擊模式。但是要使用DNSsec,牽涉到終端計算機必須支持,并且所有拜訪網站的DNS服務器也都必須支持,短期間看來,還是一個不可能的任務。這也代表短期之內,惡意攻擊者永遠都有機會透過這個漏洞,對DNS服務器展開一場樂透猜號競賽。

贊(0)
版權申明:本站文章部分自網絡,如有侵權,請聯系:west999com@outlook.com 特別注意:本站所有轉載文章言論不代表本站觀點! 本站所提供的圖片等素材,版權歸原作者所有,如需使用,請與原作者聯系。未經允許不得轉載:IDC資訊中心 » DNS漏洞防不勝防 管理員應高度重視
分享到: 更多 (0)

評論 搶沙發

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
韩国三级在线看免费|亚洲撸超碰在线视频|ADC视频在线|成人av免费福利在线