【51CTO.com快譯自7月27日外電頭條】一年前，安全研究員Dan Kaminsky披露DNS存在嚴重漏洞曾經轟動了整個IT世界，如今已經過去了一年，黑客們仍有可能利用這個bug發起緩存中毒攻擊，在無人察覺的情況下，將網絡流量從一個合法的網站重定向到虛假的網站。

Kaminsky漏洞揭示了DNS自身固有的弱點，它的發現為網絡供應商和ISP敲響了警鐘，人們開始關注DNS這個長久以來為IP地址匹配域名的互聯網基本標準，也極大的推動了DNS安全擴展協議（DNS Security Extensions，DNSSEC）的發展，DNSSEC作為附加安全機制曾經由于缺乏需求而長期不受到網絡管理員的重視。

Kaminsky的發現“不僅幫助人們提高了對DNS漏洞的認識，也讓人們更加重視普遍的互聯網安全，讓我們看到之前的協議在安全方面確實存在缺陷，”美國國家標準與技術協會計算機科學家與DNS安全專家Scott Rose說。

“從前DNS漏洞和有關DNSSEC部署的問題總是在社群中討論來討論去，但最終反而是從外部得到了最大的推動力，”這要感謝Kaminsky，Rose說?！八沂玖斯鬌NS會發生什么問題，不僅是瀏覽器的重定向，還包括轉換電子郵件。還有Kaminsky描述的所有其他攻擊都把DNS的問題推到了臺面上?！?

專家說，由于Kaminsky的發現，在過去12個月里，為了加強DNS安全所做的工作已經超過了前十年的總和。然而，如今的DNS在面對緩存中毒攻擊時，仍然和往常一樣脆弱。 Kaminsky漏洞“是互聯網的大問題”，Secure64首席運營官Joe Gersch說，他的公司銷售DNS服務器軟件和遷移到DNSSEC的自動化工具。Gersch是去年夏天Kaminsky在黑帽大會作報告的現場聽眾之一，當時在Kaminsky詳述DNS緩存中毒威脅時，現場擠得水泄不通?！?1CTO編者按，DNS緩存中毒攻擊防不勝防，其影響之大很受大家關注。

“Kaminsky花了20分鐘解釋它如何工作，在隨后的一個半小時里，他一個接一個的展示被感染的案例，”Gersch說。“他展示了DNS一旦被感染，一切就都被黑客控制了。你甚至不知道襲擊是怎么發生的，災難就突然來臨了?！?Gersch說Kaminsky讓人們認識到DNS內在的不安全性?！斑@比任何宣傳都更有效，人們馬上就開始打補丁程序，然后進行……DNSSEC部署，”Gersch說。自那時起，大多數——盡管不是全部——網絡工程師都已經針對Kaminsky發現的漏洞修補了他們的DNS服務器。

然而補丁只是Kaminsky建議用來短期修補漏洞用的。阻止緩存中毒，對付Kaminsky式攻擊的長期辦法是DNSSEC，允許網站使用數字簽名和公共密鑰加密來驗證域名和相應的IP地址?，F在的問題是，DNSSEC要在互聯網達到充分部署才能發揮最佳作用，也就是說從DNS層次的最頂端包括頂級域名如.com和.net等，一直到最底端的個人域名都要部署上DNSSEC。而在此之前，網站仍然容易受到Kaminsky式攻擊。

Kaminsky漏洞“是部署DNSSEC的最主要催化劑”，NeuStar高級副總裁Rodney Joffe說。而什么時候才能達到充分部署呢？Joffe認為還需要一年或更長的時間。與此同時，ISP和網站運營商們卻看到了越來越多的緩存中毒攻擊，盡管其中很少被公開披露。7月17日愛爾蘭的ISP Eircom報告說它遭受了緩存中毒攻擊，導致兩個主要服務中斷，訪問Facebook等網站的客戶被重定向到虛假的網站。

今年4月，巴西銀行Bradesco也證實它的一些顧客被重定向到惡意網站，試圖竊取他們的密碼，原因是銀行的ISP Net Virtua遭受了緩存中毒攻擊。 “我們看到緩存中毒攻擊事件正變得越來越多，”Joffe說。“一年前，這還是一個理論上的威脅。而今天，它正在爆發?！本彺嬷卸竟舻奈ｋU實際上比一年前還要大得多，因為Kaminsky漏洞在黑客屆已經變的眾所周知。

而作為最終的解決辦法，DNSSEC部署在過去的一年也取得了重大進展。美國政府確認到2009年底將在其.gov域名完成DNSSEC部署，而且正在采取步驟以確保DNS根服務器也能在同一時間完成部署。.org域名已率先使用了DNSSEC，另外瑞典、巴西、波多黎各、保加利亞和捷克等國的頂級域名也已經開始提供支持。最重要的是VeriSign為.com和.net部署DNSSEC的計劃，它表示將在2011年完成。

“今年無疑將成為DNSSEC之年，”Joffe說。“為此我們已經努力了十三年，但這一年DNSSEC將迎來真正的飛躍?！?然而DNSSEC仍然存在一些技術故障，專家警告說當域名切換到新的安全協議時網站可能會無法使用，因為一些配置問題?！拔覀円呀浿赖淖畲蟮牟僮髡系K就是一些小型家庭路由器以及一些入侵檢測系統和防火墻的默認配置和DNSSEC配合不好，”Rose說，“用戶必須重新配置這些系統來處理DNSSEC密鑰和簽名?！薄?1CTO編者按：DNS 客戶端并不在自身實施DNS 授權，而是等待服務器返回授權結果。

【51CTO.com譯稿，非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com，且不得修改原文內容。】

原文：DNS remains vulnerable one year after Kaminsky bug 作者：Carolyn Duffy Marsan

【編輯推薦】

• 加強DNS安全：可在Chroot下運行BIND
• 如何確保網絡DNS安全
• 2009年不容忽視的安全隱患：DNS漏洞