DNS漏洞 迫使互联网核心协议升级
时间:2009-02-06浏览:3次
9月20日报道:DNS(Domain Name System,链接标记域名解析系统)的一些漏洞细节在Black Hat 2008大会发布之前已经泄露,让本身就不够安全的互联网更增添了恐慌和猜测。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际链接标记域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入链接标记www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS.
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址链接标记http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址链接标记http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655.”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。