DNS漏洞引恐慌 互联网核心协议被迫升级

    DNS(Domain Name System，域名解析系统)的一些漏洞细节在Black Hat 2008大会发布之前已经泄露，让本身就不够安全的互联网更增添了恐慌和猜测。

    正是基于目前互联网上曝出的DNS漏洞问题，ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议，其创建目的就是为了解决原DNS协议中的漏洞问题，使之不再容易遭受攻击。

    互联网的核心漏洞

    DNS服务在互联网中扮演着极为重要的角色。简单地说，DNS就是互联网的核心，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使用户方便地访问互联网，而不用去记住能被机器直接读取的IP数串。比如，用户只需要在浏览器中输入www.abc.com，而不需要记住长长的IP地址。不只浏览网页需要DNS、E-mail和SSL证书同样需要DNS。

    DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页，欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页，无论用户在网络浏览器上输入什么地址。

    正因如此，DNS就像一块磁铁，吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁，他们就可以随意改变互联网信息的流动方向，可以让一个合法的网站瞬间变成黑客手中的傀儡，对用户进行金融欺诈。

    甚至有业内人士担忧地说：“该漏洞的危害性不容忽视，它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞，虽然互联网仍将存在，但那已不再是你想要的互联网了——届时，控制权将掌握在黑客手中。”

    DNS自身的缺陷最早被发现于1990年，但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息，利用DNS缓存服务器来达到劫持网站的目的。

    虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知，尽管获取交易ID的可能性在1/65535，但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关，比如某个站点的主域不仅仅有abc.com的IP地址，而且还包括一些额外信息，因此只要攻击者在所谓的abc.com站点上拥有DNS服务器，就可以对请求做出响应。

    这两种漏洞在很早以前就得到了解决，而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息，比如输入搜狐的DNS地址http://61.135.179.166时，并不会访问搜狐的主页，而是出现报错页面，在策略上已经形成了范围保护。

    Dan Kaminsky曾在思科工作，现在就职于IOActive网络安全公司。10年来他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客)，在今年年初时曾发现了DNS系统的一个严重漏洞，为了不让互联网遭受重创，他一直不肯透露漏洞细节。

【我要评论】

【大 中 小】 【打印】

关于“DNS、漏洞”的

• 资讯
• 供应
• 求购
• 吧