【51CTO.com快譯自7月27日外電頭條】一年前，安全研究員Dan Kaminsky披露DNS存在嚴重漏洞曾經(jīng)轟動了整個IT世界，如今已經(jīng)過去了一年，黑客們?nèi)杂锌赡芾眠@個bug發(fā)起緩存中毒攻擊，在無人察覺的情況下，將網(wǎng)絡(luò)流量從一個合法的網(wǎng)站重定向到虛假的網(wǎng)站。

Kaminsky漏洞揭示了DNS自身固有的弱點，它的發(fā)現(xiàn)為網(wǎng)絡(luò)供應(yīng)商和ISP敲響了警鐘，人們開始關(guān)注DNS這個長久以來為IP地址匹配域名的互聯(lián)網(wǎng)基本標準，也極大的推動了DNS安全擴展協(xié)議（DNS Security Extensions，DNSSEC）的發(fā)展，DNSSEC作為附加安全機制曾經(jīng)由于缺乏需求而長期不受到網(wǎng)絡(luò)管理員的重視。

Kaminsky的發(fā)現(xiàn)“不僅幫助人們提高了對DNS漏洞的認識，也讓人們更加重視普遍的互聯(lián)網(wǎng)安全，讓我們看到之前的協(xié)議在安全方面確實存在缺陷，”美國國家標準與技術(shù)協(xié)會計算機科學(xué)家與DNS安全專家Scott Rose說。

“從前DNS漏洞和有關(guān)DNSSEC部署的問題總是在社群中討論來討論去，但最終反而是從外部得到了最大的推動力，”這要感謝Kaminsky，Rose說?！八沂玖斯鬌NS會發(fā)生什么問題，不僅是瀏覽器的重定向，還包括轉(zhuǎn)換電子郵件。還有Kaminsky描述的所有其他攻擊都把DNS的問題推到了臺面上。”

專家說，由于Kaminsky的發(fā)現(xiàn)，在過去12個月里，為了加強DNS安全所做的工作已經(jīng)超過了前十年的總和。然而，如今的DNS在面對緩存中毒攻擊時，仍然和往常一樣脆弱。 Kaminsky漏洞“是互聯(lián)網(wǎng)的大問題”，Secure64首席運營官Joe Gersch說，他的公司銷售DNS服務(wù)器軟件和遷移到DNSSEC的自動化工具。Gersch是去年夏天Kaminsky在黑帽大會作報告的現(xiàn)場聽眾之一，當時在Kaminsky詳述DNS緩存中毒威脅時，現(xiàn)場擠得水泄不通。——51CTO編者按，DNS緩存中毒攻擊防不勝防，其影響之大很受大家關(guān)注。

“Kaminsky花了20分鐘解釋它如何工作，在隨后的一個半小時里，他一個接一個的展示被感染的案例，”Gersch說?！八故玖薉NS一旦被感染，一切就都被黑客控制了。你甚至不知道襲擊是怎么發(fā)生的，災(zāi)難就突然來臨了?！?Gersch說Kaminsky讓人們認識到DNS內(nèi)在的不安全性?！斑@比任何宣傳都更有效，人們馬上就開始打補丁程序，然后進行……DNSSEC部署，”Gersch說。自那時起，大多數(shù)——盡管不是全部——網(wǎng)絡(luò)工程師都已經(jīng)針對Kaminsky發(fā)現(xiàn)的漏洞修補了他們的DNS服務(wù)器。

然而補丁只是Kaminsky建議用來短期修補漏洞用的。阻止緩存中毒，對付Kaminsky式攻擊的長期辦法是DNSSEC，允許網(wǎng)站使用數(shù)字簽名和公共密鑰加密來驗證域名和相應(yīng)的IP地址?，F(xiàn)在的問題是，DNSSEC要在互聯(lián)網(wǎng)達到充分部署才能發(fā)揮最佳作用，也就是說從DNS層次的最頂端包括頂級域名如.com和.net等，一直到最底端的個人域名都要部署上DNSSEC。而在此之前，網(wǎng)站仍然容易受到Kaminsky式攻擊。

Kaminsky漏洞“是部署DNSSEC的最主要催化劑”，NeuStar高級副總裁Rodney Joffe說。而什么時候才能達到充分部署呢？Joffe認為還需要一年或更長的時間。與此同時，ISP和網(wǎng)站運營商們卻看到了越來越多的緩存中毒攻擊，盡管其中很少被公開披露。7月17日愛爾蘭的ISP Eircom報告說它遭受了緩存中毒攻擊，導(dǎo)致兩個主要服務(wù)中斷，訪問Facebook等網(wǎng)站的客戶被重定向到虛假的網(wǎng)站。

今年4月，巴西銀行Bradesco也證實它的一些顧客被重定向到惡意網(wǎng)站，試圖竊取他們的密碼，原因是銀行的ISP Net Virtua遭受了緩存中毒攻擊。 “我們看到緩存中毒攻擊事件正變得越來越多，”Joffe說?！耙荒昵?，這還是一個理論上的威脅。而今天，它正在爆發(fā)?！本彺嬷卸竟舻奈ｋU實際上比一年前還要大得多，因為Kaminsky漏洞在黑客屆已經(jīng)變的眾所周知。

而作為最終的解決辦法，DNSSEC部署在過去的一年也取得了重大進展。美國政府確認到2009年底將在其.gov域名完成DNSSEC部署，而且正在采取步驟以確保DNS根服務(wù)器也能在同一時間完成部署。.org域名已率先使用了DNSSEC，另外瑞典、巴西、波多黎各、保加利亞和捷克等國的頂級域名也已經(jīng)開始提供支持。最重要的是VeriSign為.com和.net部署DNSSEC的計劃，它表示將在2011年完成。

“今年無疑將成為DNSSEC之年，”Joffe說?！盀榇宋覀円呀?jīng)努力了十三年，但這一年DNSSEC將迎來真正的飛躍?！?然而DNSSEC仍然存在一些技術(shù)故障，專家警告說當域名切換到新的安全協(xié)議時網(wǎng)站可能會無法使用，因為一些配置問題。“我們已經(jīng)知道的最大的操作障礙就是一些小型家庭路由器以及一些入侵檢測系統(tǒng)和防火墻的默認配置和DNSSEC配合不好，”Rose說，“用戶必須重新配置這些系統(tǒng)來處理DNSSEC密鑰和簽名?！薄?1CTO編者按：DNS 客戶端并不在自身實施DNS 授權(quán)，而是等待服務(wù)器返回授權(quán)結(jié)果。

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容。】

原文：DNS remains vulnerable one year after Kaminsky bug 作者：Carolyn Duffy Marsan

【編輯推薦】

• 加強DNS安全：可在Chroot下運行BIND
• 如何確保網(wǎng)絡(luò)DNS安全
• 2009年不容忽視的安全隱患：DNS漏洞