【51CTO.com快譯自7月27日外電頭條】一年前，安全研究員Dan Kaminsky披露DNS存在嚴(yán)重漏洞曾經(jīng)轟動(dòng)了整個(gè)IT世界，如今已經(jīng)過(guò)去了一年，黑客們?nèi)杂锌赡芾眠@個(gè)bug發(fā)起緩存中毒攻擊，在無(wú)人察覺(jué)的情況下，將網(wǎng)絡(luò)流量從一個(gè)合法的網(wǎng)站重定向到虛假的網(wǎng)站。

Kaminsky漏洞揭示了DNS自身固有的弱點(diǎn)，它的發(fā)現(xiàn)為網(wǎng)絡(luò)供應(yīng)商和ISP敲響了警鐘，人們開(kāi)始關(guān)注DNS這個(gè)長(zhǎng)久以來(lái)為IP地址匹配域名的互聯(lián)網(wǎng)基本標(biāo)準(zhǔn)，也極大的推動(dòng)了DNS安全擴(kuò)展協(xié)議（DNS Security Extensions，DNSSEC）的發(fā)展，DNSSEC作為附加安全機(jī)制曾經(jīng)由于缺乏需求而長(zhǎng)期不受到網(wǎng)絡(luò)管理員的重視。

Kaminsky的發(fā)現(xiàn)“不僅幫助人們提高了對(duì)DNS漏洞的認(rèn)識(shí)，也讓人們更加重視普遍的互聯(lián)網(wǎng)安全，讓我們看到之前的協(xié)議在安全方面確實(shí)存在缺陷，”美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)計(jì)算機(jī)科學(xué)家與DNS安全專(zhuān)家Scott Rose說(shuō)。

“從前DNS漏洞和有關(guān)DNSSEC部署的問(wèn)題總是在社群中討論來(lái)討論去，但最終反而是從外部得到了最大的推動(dòng)力，”這要感謝Kaminsky，Rose說(shuō)。“他揭示了攻擊DNS會(huì)發(fā)生什么問(wèn)題，不僅是瀏覽器的重定向，還包括轉(zhuǎn)換電子郵件。還有Kaminsky描述的所有其他攻擊都把DNS的問(wèn)題推到了臺(tái)面上。”

專(zhuān)家說(shuō)，由于Kaminsky的發(fā)現(xiàn)，在過(guò)去12個(gè)月里，為了加強(qiáng)DNS安全所做的工作已經(jīng)超過(guò)了前十年的總和。然而，如今的DNS在面對(duì)緩存中毒攻擊時(shí)，仍然和往常一樣脆弱。 Kaminsky漏洞“是互聯(lián)網(wǎng)的大問(wèn)題”，Secure64首席運(yùn)營(yíng)官Joe Gersch說(shuō)，他的公司銷(xiāo)售DNS服務(wù)器軟件和遷移到DNSSEC的自動(dòng)化工具。Gersch是去年夏天Kaminsky在黑帽大會(huì)作報(bào)告的現(xiàn)場(chǎng)聽(tīng)眾之一，當(dāng)時(shí)在Kaminsky詳述DNS緩存中毒威脅時(shí)，現(xiàn)場(chǎng)擠得水泄不通。——51CTO編者按，DNS緩存中毒攻擊防不勝防，其影響之大很受大家關(guān)注。

“Kaminsky花了20分鐘解釋它如何工作，在隨后的一個(gè)半小時(shí)里，他一個(gè)接一個(gè)的展示被感染的案例，”Gersch說(shuō)。“他展示了DNS一旦被感染，一切就都被黑客控制了。你甚至不知道襲擊是怎么發(fā)生的，災(zāi)難就突然來(lái)臨了。” Gersch說(shuō)Kaminsky讓人們認(rèn)識(shí)到DNS內(nèi)在的不安全性?！斑@比任何宣傳都更有效，人們馬上就開(kāi)始打補(bǔ)丁程序，然后進(jìn)行……DNSSEC部署，”Gersch說(shuō)。自那時(shí)起，大多數(shù)——盡管不是全部——網(wǎng)絡(luò)工程師都已經(jīng)針對(duì)Kaminsky發(fā)現(xiàn)的漏洞修補(bǔ)了他們的DNS服務(wù)器。

然而補(bǔ)丁只是Kaminsky建議用來(lái)短期修補(bǔ)漏洞用的。阻止緩存中毒，對(duì)付Kaminsky式攻擊的長(zhǎng)期辦法是DNSSEC，允許網(wǎng)站使用數(shù)字簽名和公共密鑰加密來(lái)驗(yàn)證域名和相應(yīng)的IP地址。現(xiàn)在的問(wèn)題是，DNSSEC要在互聯(lián)網(wǎng)達(dá)到充分部署才能發(fā)揮最佳作用，也就是說(shuō)從DNS層次的最頂端包括頂級(jí)域名如.com和.net等，一直到最底端的個(gè)人域名都要部署上DNSSEC。而在此之前，網(wǎng)站仍然容易受到Kaminsky式攻擊。

Kaminsky漏洞“是部署DNSSEC的最主要催化劑”，NeuStar高級(jí)副總裁Rodney Joffe說(shuō)。而什么時(shí)候才能達(dá)到充分部署呢？Joffe認(rèn)為還需要一年或更長(zhǎng)的時(shí)間。與此同時(shí)，ISP和網(wǎng)站運(yùn)營(yíng)商們卻看到了越來(lái)越多的緩存中毒攻擊，盡管其中很少被公開(kāi)披露。7月17日愛(ài)爾蘭的ISP Eircom報(bào)告說(shuō)它遭受了緩存中毒攻擊，導(dǎo)致兩個(gè)主要服務(wù)中斷，訪問(wèn)Facebook等網(wǎng)站的客戶(hù)被重定向到虛假的網(wǎng)站。

今年4月，巴西銀行Bradesco也證實(shí)它的一些顧客被重定向到惡意網(wǎng)站，試圖竊取他們的密碼，原因是銀行的ISP Net Virtua遭受了緩存中毒攻擊。 “我們看到緩存中毒攻擊事件正變得越來(lái)越多，”Joffe說(shuō)?！耙荒昵?，這還是一個(gè)理論上的威脅。而今天，它正在爆發(fā)?！本彺嬷卸竟舻奈ｋU(xiǎn)實(shí)際上比一年前還要大得多，因?yàn)镵aminsky漏洞在黑客屆已經(jīng)變的眾所周知。

而作為最終的解決辦法，DNSSEC部署在過(guò)去的一年也取得了重大進(jìn)展。美國(guó)政府確認(rèn)到2009年底將在其.gov域名完成DNSSEC部署，而且正在采取步驟以確保DNS根服務(wù)器也能在同一時(shí)間完成部署。.org域名已率先使用了DNSSEC，另外瑞典、巴西、波多黎各、保加利亞和捷克等國(guó)的頂級(jí)域名也已經(jīng)開(kāi)始提供支持。最重要的是VeriSign為.com和.net部署DNSSEC的計(jì)劃，它表示將在2011年完成。

“今年無(wú)疑將成為DNSSEC之年，”Joffe說(shuō)?！盀榇宋覀円呀?jīng)努力了十三年，但這一年DNSSEC將迎來(lái)真正的飛躍?！?然而DNSSEC仍然存在一些技術(shù)故障，專(zhuān)家警告說(shuō)當(dāng)域名切換到新的安全協(xié)議時(shí)網(wǎng)站可能會(huì)無(wú)法使用，因?yàn)橐恍┡渲脝?wèn)題?！拔覀円呀?jīng)知道的最大的操作障礙就是一些小型家庭路由器以及一些入侵檢測(cè)系統(tǒng)和防火墻的默認(rèn)配置和DNSSEC配合不好，”Rose說(shuō)，“用戶(hù)必須重新配置這些系統(tǒng)來(lái)處理DNSSEC密鑰和簽名?！薄?1CTO編者按：DNS 客戶(hù)端并不在自身實(shí)施DNS 授權(quán)，而是等待服務(wù)器返回授權(quán)結(jié)果。

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：DNS remains vulnerable one year after Kaminsky bug 作者：Carolyn Duffy Marsan

【編輯推薦】

• 加強(qiáng)DNS安全：可在Chroot下運(yùn)行BIND
• 如何確保網(wǎng)絡(luò)DNS安全
• 2009年不容忽視的安全隱患：DNS漏洞