” client 143.215.143.11 query (cache) ‘www.ebay.com/ANY/IN’ denied: 31
Time(s)
client 143.215.143.11 query (cache) ‘www.facebook.com/ANY/IN’
denied: 30 Time(s)
client 143.215.143.11 query (cache) ‘www.gmail.com/ANY/IN’ denied:
30 Time(s)
client 143.215.143.11 query (cache) ‘www.google.com/ANY/IN’ denied:
30 Time(s)
client 143.215.143.11 query (cache) ‘www.live.com/ANY/IN’ denied: 30
Time(s)
client 143.215.143.11 query (cache) ‘www.microsoft.com/ANY/IN’
denied: 30 Time(s)
client 143.215.143.11 query (cache) ‘www.msn.com/ANY/IN’ denied: 30
Time(s)
client 143.215.143.11 query (cache) ‘www.myspace.com/ANY/IN’ denied:
30 Time(s)”
你對(duì)此感到驚訝么?反正我是一點(diǎn)也不��,這是相當(dāng)合乎邏輯的���,因?yàn)檫@三個(gè)公開提供的攻擊代碼在過(guò)去幾天里已經(jīng)有了超過(guò)一萬(wàn)五千次的下載�。我感到驚訝的其實(shí)是,過(guò)了這么長(zhǎng)的時(shí)間才有一個(gè)小組這么做�����。盡管媒體已經(jīng)提醒過(guò)需要加強(qiáng)重視���,但不論是大的國(guó)際的還是本地互聯(lián)網(wǎng)服務(wù)供應(yīng)商仍然都很脆弱。諷刺的是���,即使它們已經(jīng)安裝了相關(guān)的補(bǔ)丁��,也還是很脆弱�����。不安全的和錯(cuò)誤的域名系統(tǒng)服務(wù)器��,將繼續(xù)成為一個(gè)現(xiàn)實(shí)的威脅�����,即使在Web 2.0的世界中也不例外�����。
早在2004年進(jìn)行的一項(xiàng)關(guān)于域名系統(tǒng)的安全調(diào)查就表明:
“對(duì)于域名系統(tǒng)服務(wù)器的調(diào)查顯示�。在所有166771臺(tái)域名服務(wù)器中,有27141臺(tái)服務(wù)器存在已知的漏洞����。這些漏洞可以影響185002個(gè)域名。認(rèn)為17%脆弱的域名服務(wù)器只會(huì)影響17%的域名的想法是天真的�。結(jié)果顯然不是如此。信任關(guān)系會(huì)將“毒藥”通過(guò)每一個(gè)不安全的域名服務(wù)器進(jìn)行傳播�����。因此�,有34%的域名服務(wù)器會(huì)被用來(lái)進(jìn)行著名的腳本攻擊。”
而早在2005年發(fā)布的另一份關(guān)于域名系統(tǒng)安全的研究報(bào)告則顯示����,84%的互聯(lián)網(wǎng)域名服務(wù)器可以被方便的轉(zhuǎn)發(fā)欺騙攻擊。即使進(jìn)行比較保守的估計(jì)���,也可以相信在三年后����,至少還有50%以上的互聯(lián)網(wǎng)域名服務(wù)器仍然很脆弱。下面���,我們看一下���,Infoblox去年關(guān)于域名系統(tǒng)安全的統(tǒng)計(jì)調(diào)查報(bào)告顯示了什么樣的結(jié)果:
“仍然有百分之五十以上的互聯(lián)網(wǎng)域名服務(wù)器支持進(jìn)行遞歸查詢,這和2006年的結(jié)果一致�����。支持來(lái)自任意地址的遞歸查詢����,可以導(dǎo)致攻擊者從域名系統(tǒng)服務(wù)器發(fā)出大量的DoS拒絕服務(wù)攻擊���,也容易受到緩存中毒攻擊��。支持層遞(transfer zones)的域名服務(wù)器略有增加����,從29%上升到31%�����。但這個(gè)變化也可能是內(nèi)部調(diào)查的抽樣誤差造成的,這說(shuō)明�,這方面的安全狀況并沒(méi)有改善。改變BIND 9操作系統(tǒng)的默認(rèn)設(shè)置對(duì)于域名服務(wù)器安全可能有幫助
(改變BIND 9.4操作系統(tǒng)的默認(rèn)遞推設(shè)置就是一個(gè)不錯(cuò)的選擇)�。
此外,麻省理工學(xué)院的虛擬IP項(xiàng)目自從2005年誕生以來(lái)����,一直在自動(dòng)生成關(guān)于全球各地的國(guó)家域名服務(wù)器的安全情況的圖示,并且對(duì)具有易感性的IP欺騙給予了特別關(guān)注�����。最近關(guān)于脆弱性的討論實(shí)際上炒作的成分很大����,域名系統(tǒng)緩存攻擊行為已經(jīng)存在了很多年,在近期也不會(huì)有消失的跡象����。
最重要的是,惡意攻擊者不需要利用這個(gè)漏洞�����,也可以通過(guò)日常分析,成功地進(jìn)行網(wǎng)絡(luò)犯罪�。在多年的漠視后,不可能在短短的幾天內(nèi)解決問(wèn)題�。在這之前,需要對(duì)局勢(shì)進(jìn)行控制�,檢查你的互聯(lián)網(wǎng)服務(wù)供應(yīng)商正在運(yùn)行的域名服務(wù)器是否容易遭到緩存攻擊,清除可能被惡意攻擊者用來(lái)進(jìn)行攻擊的漏洞��。
