到目前為止，只有不到0.02%的互聯(lián)網(wǎng)采用了DNSSEC協(xié)議，DNSSEC協(xié)議在頂級域名方面取得了進展，但一項新研究顯示，整體DNSSEC協(xié)議部署只占互聯(lián)網(wǎng)的一小部分，讓大部分企業(yè)都容易受到DNS緩存中毒攻擊。

根據(jù)Infoblox和測試服務(wù)公司收集的數(shù)據(jù)顯示，不到0.02%的DNS區(qū)域啟用了DNSSEC，而有96%因為DNSSEC簽名過期而沒有通過驗證。

DNS緩存中毒攻擊威脅在一年前由知名研究人員Dan Kaminsky發(fā)現(xiàn)，而DNSSEC協(xié)議被認為是抵御DNS緩存中毒攻擊的最佳防御。盡管Infoblox調(diào)查發(fā)現(xiàn)DNSSEC協(xié)議部署今年攀升了340%，但仍然有很長的路要走。

Infoblox公司架構(gòu)副總裁同時也是DNS專家Cricket Liu表示，這次調(diào)查還首次研究了現(xiàn)有的DNSSEC 協(xié)議部署是否上升以及運行情況，“關(guān)于DNSSEC協(xié)議部署的奇怪的現(xiàn)象就是，我們看到數(shù)據(jù)持續(xù)上升，但都是從極小的數(shù)字到更小的比率，”Liu表示， “這是我們第一次檢查在這些DNSSEC協(xié)議區(qū)域驗證數(shù)據(jù)的能力，而幾乎有四分之一沒有通過驗證，因為簽名過期，這很令人失望。”

他表示，這些企業(yè)可能一直在將DNSSEC作為實驗，“這也就是說，加上一些工具，會讓DNSSEC協(xié)議變得很難運行，”他說道，“四分之一的區(qū)域過期說明，DNSSEC協(xié)議的重新簽名并不是自動的，大家設(shè)置好DNSSEC協(xié)議來進行實驗，然后就不聞不問了。”

與此同時，Kaminsky一直致力于讓DNSSEC協(xié)議部署更加簡單，他近日發(fā)布了一個免費的工具包，Phreebird Suite1.0，該工具包可以讓企業(yè)嘗試使用DNSSEC協(xié)議，同時也向他們證明這個協(xié)議并不難部署。Phreebird Suite 1.0是一個位于DNS服務(wù)器前面的實時DNSSEC代理服務(wù)器，并且對其響應(yīng)進行數(shù)字簽名。

Infoblox調(diào)查還發(fā)現(xiàn)，在所有DNS域名服務(wù)器中，將近有75%的服務(wù)器位于單個授權(quán)區(qū)域，這樣容易出現(xiàn)單點故障，“這是很糟糕的事情，”Liu表示。如果路由基礎(chǔ)設(shè)施出現(xiàn)問題或者故障，那么將會失去互聯(lián)網(wǎng)業(yè)務(wù)。

一些網(wǎng)絡(luò)目前仍然缺乏的是DNSSEC協(xié)議需要的基本網(wǎng)絡(luò)配置。Liu表示：將近20%的域名不允許TCP查詢，而26.4%不支持DNS協(xié)議的擴展機制。

Infoblox建議企業(yè)為部署DNSSEC協(xié)議做好準備，升級到最新版本的BIND，使用端口隨機化，隔離內(nèi)部和外部域名服務(wù)器，并且隔離授權(quán)DNS域名服務(wù)器和遞歸DNS域名服務(wù)器。

【編輯推薦】

1. DNS安全防護解決方案
2. 不再恐懼 DNSPod安全系數(shù)升級的背后