Là gì? Khảo sát: Một máy chủ DNS trong 10 Có 'nguy hiểm dễ bị tổn thương'

Hơn 10% máy chủ DNS của Internet (Domain Name System) vẫn dễ bị tổn thương bởi các cuộc tấn công cache-poisoning, theo một cuộc khảo sát trên thế giới về các máy chủ định danh Internet. Chuyên gia DNS Cricket Liu, công ty của ông, Infoblox, đã đưa ra cuộc khảo sát hàng năm cho biết. "Chúng tôi ước tính có 11,9 triệu máy chủ định danh trên mạng, và hơn 40% cho phép đệ quy mở, do đó, họ chấp nhận các truy vấn từ bất cứ ai, trong số đó, một phần tư không được vá lỗi, vì vậy có 1,3 triệu máy chủ định danh dễ bị tấn công ", Liu, phó chủ tịch của kiến ​​trúc của Infoblox, cho biết thêm. từ Gió của bạn Các máy chủ DNS khác cũng có thể cho phép đệ quy nhưng không mở cửa cho tất cả mọi người, do đó họ không được điều tra. Liu nói lỗ hổng bị nhiễm độc bộ nhớ cache, thường được đặt tên sau Dan Kaminsky, nhà nghiên cứu an ninh đã công bố chi tiết về nó vào tháng 7, là chính hãng: "Kaminsky đã bị khai thác trong vài ngày sau khi được công khai", ông nói.

Các mô đun nhắm vào lỗ hổng này đã được bổ sung vào công cụ thử nghiệm hacking và thâm nhập Metasploit, ví dụ. Trớ trêu thay, một trong những máy chủ DNS đầu tiên bị tổn thương bởi một cuộc tấn công ngộ độc bộ nhớ cache được sử dụng bởi tác giả của Metasploit, HD Moore.

Hiện tại, thuốc giải độc cho lỗ hổng nhiễm độc cache là ngẫu nhiên theo cổng. Bằng cách gửi các truy vấn DNS từ các cổng nguồn khác nhau, điều này làm cho kẻ tấn công khó đoán cổng nào sẽ gửi dữ liệu bị nhiễm độc lên.

Tuy nhiên, đây chỉ là một phần sửa chữa, Liu cảnh báo. Ông nói: "Sự ngẫu nhiên hóa cảng giúp giảm thiểu vấn đề nhưng nó không làm cho cuộc tấn công trở nên bất khả thi. "Đó thực sự chỉ là một bước dừng để kiểm tra mã hoá, đó là những gì các phần mở rộng bảo mật DNSSEC làm.

" DNSSEC sẽ mất rất nhiều thời gian để thực hiện, vì có rất nhiều cơ sở hạ tầng liên quan - chính quản lý, ký hiệu khu vực, ký kết khoá công khai, v.v … Chúng tôi nghĩ rằng chúng ta có thể thấy được sự chấp nhận đáng chú ý trong việc áp dụng DNSSEC trong năm nay, nhưng chúng tôi chỉ thấy 45 bản ghi DNSSEC trong một triệu mẫu. Năm ngoái, chúng tôi thấy 44. "Liu nói rằng về mặt tích cực, cuộc khảo sát đã đưa ra một vài tin tức tốt. Ví dụ, hỗ trợ cho SPF - khung chính sách người gửi, chống lại giả mạo email - có đã tăng lên trong 12 tháng qua từ 12,6% trong số các khu được lấy mẫu từ 16,6% xuống còn

. Hơn nữa, số lượng hệ thống DNS DNS không an toàn kết nối với Internet đã giảm từ 2,7% xuống còn 0,17%. các hệ thống này vẫn có thể được sử dụng bên trong các tổ chức, nhưng nói điều quan trọng là "mọi người đang lén lút kết nối chúng với Internet".

Nhìn về phía trước, Liu nói rằng chỉ có các tổ chức có nhu cầu cụ thể về DNS đệ quy máy chủ - và khả năng kỹ thuật để giữ cho chúng khỏi bị ngập lụt - nên chạy chúng.

"Tôi rất thích thấy tỷ lệ máy chủ đệ quy mở xuống, bởi vì ngay cả khi chúng được vá, họ tạo ra các bộ khuếch đại tuyệt vời để từ chối các cuộc tấn công của dịch vụ ", ông nói." Chúng tôi không thể loại bỏ các máy chủ đệ quy, nhưng bạn không phải cho phép bất cứ ai sử dụng chúng. "