2008年發(fā)現(xiàn)的DNS(域名服務(wù))漏洞在安全產(chǎn)業(yè)引起軒然大波，但是考慮到經(jīng)濟(jì)危機(jī)對IT造成的影響，行業(yè)專家擔(dān)心2009年受影響的系統(tǒng)以及圍繞域名服務(wù)器的安全問題將被暫時擱置。

由IOActive公司Dan Kaminsky發(fā)現(xiàn)的DNS安全漏洞引發(fā)眾多供應(yīng)商開始進(jìn)行產(chǎn)品升級，以保護(hù)企業(yè)網(wǎng)絡(luò)免受緩存中毒以及其他DNS攻擊的威脅(例如分布式拒絕攻擊DDoS等)。專家們鼓勵I(lǐng)T主管們對他們的DNS系統(tǒng)進(jìn)行升級以防潛在威脅，但是Measurement Group的調(diào)查結(jié)果顯示截至11月中旬，仍有四分之一的服務(wù)器尚未升級，DNS專家們擔(dān)心DNS項(xiàng)目將因?yàn)榻?jīng)濟(jì)危機(jī)而被擱置。

專家表示，“沒有進(jìn)行升級的域名服務(wù)器很容易受到Kaminsky攻擊的毒害，只需利用一個有效的漏洞腳本，黑客就能在10秒內(nèi)向這些域名服務(wù)器的緩存插入任何數(shù)據(jù)。”

DNSstuff公司9月份針對466名企業(yè)級在線客戶進(jìn)行的另一項(xiàng)調(diào)查結(jié)果表明，9.6%還沒有修復(fù)DNS服務(wù)器，21.9%還不確定其公司是否修復(fù)了DNS服務(wù)器。調(diào)查結(jié)果顯示，盡管DNS社區(qū)和一些供應(yīng)商努力號召大家升級服務(wù)器，仍然有大量的服務(wù)器管理員還沒有采取行動。

至于未能修復(fù)服務(wù)器的原因，超過45%的受訪者表示缺乏內(nèi)部資源，30%表示他們并不知道漏洞的存在，而其余的24%則表示他們不具備專業(yè)的DNS知識，無法采取適當(dāng)?shù)男袆印?/P>

DNSstuff公司對客戶的調(diào)查還發(fā)現(xiàn)受訪者遇到過的最常見的DNS問題包括：69%的電子郵件停工期，50%的DDoS攻擊和緩存中毒攻擊，18.5%的欺詐攻擊。

這就是為什么IP地址管理供應(yīng)商們努力讓大家認(rèn)識DNS并希望引起大家高度重視的原因，盡管目前經(jīng)濟(jì)狀況不是很理想。

首先，Infoblox表示，對于DNS存在一種普遍的誤解，即DNS是網(wǎng)絡(luò)中微不足道的一部分。事實(shí)上，DNS發(fā)揮著關(guān)鍵作用：映射域名到IP地址以及將互聯(lián)網(wǎng)查詢指引到適當(dāng)?shù)奈恢谩！叭绻髽I(yè)的DNS系統(tǒng)發(fā)生故障，所有的互聯(lián)網(wǎng)功能，包括電子郵件、網(wǎng)絡(luò)訪問，電子商務(wù)和外部網(wǎng)絡(luò)都無法使用。”

其次，有一種觀點(diǎn)認(rèn)為，任何版本的BIND都能夠保護(hù)互聯(lián)網(wǎng)商的名稱服務(wù)機(jī)器，這種想法是錯誤的。BIND版本只是Berkeley Internet Name Domain的改寫版本，包括DNS安全和增強(qiáng)協(xié)議，以及對Ipv6的支持。

另一個關(guān)于BIND的誤解就是，使用BIND版本9的企業(yè)能夠免受Kaminsky漏洞的攻擊。Infoblox的Liu表示，這是不正確的。“即使運(yùn)行最新版本的BIND，很多企業(yè)如果沒有采取必要的預(yù)防措施來限制到遞歸或者安全轉(zhuǎn)移地帶的訪問，也將是徒勞的。”

最后，認(rèn)為必須等到IT獲得公司資金后再升級DNS也是不合理的。隨時都可以利用免費(fèi)下載的工具對系統(tǒng)進(jìn)行測試以發(fā)現(xiàn)系統(tǒng)漏洞，并對DNS服務(wù)器進(jìn)行升級。舉例來說，可以從Infoblox的官方網(wǎng)站下載該公司的QuickSecure解決方案。

可以在doxpara.com和www.dnsadvisor.com網(wǎng)站測試遞歸名稱服務(wù)器中是否存在Kaminsky漏洞，或者使用DNS-OARC的端口測試工具，如果發(fā)現(xiàn)服務(wù)器中存在漏洞，Infoblox建議將該名稱服務(wù)器轉(zhuǎn)移到使用查詢端口隨機(jī)化的服務(wù)器處或者轉(zhuǎn)移到支持該服務(wù)器的另一臺名稱服務(wù)器中。

安全專家建議，“即使對于那些無法修復(fù)Kanminsky漏洞的企業(yè)，也還可以進(jìn)行很多其他方面配置，如配置遞歸和開放區(qū)轉(zhuǎn)移等，同樣也能起到保護(hù)作用。大家應(yīng)該更多地將注意力放在配置和部署架構(gòu)商，能夠保護(hù)DNS基礎(chǔ)設(shè)施免受攻擊和中斷的威脅。”

【編輯推薦】

1. DNS 攻擊程序代碼已于網(wǎng)絡(luò)大肆散布
2. 關(guān)于DNS系統(tǒng)面臨嚴(yán)重安全漏洞風(fēng)險(xiǎn)緊急公告
3. 趣聞：DNS攻擊代碼編寫者被自己代碼攻擊