大多企業(yè)仍然容易受到DNS緩存中毒攻擊
到目前為止,只有不到0.02%的互聯(lián)網(wǎng)采用了DNSSEC協(xié)議,DNSSEC協(xié)議在頂級(jí)域名方面取得了進(jìn)展,但一項(xiàng)新研究顯示,整體DNSSEC協(xié)議部署只占互聯(lián)網(wǎng)的一小部分,讓大部分企業(yè)都容易受到DNS緩存中毒攻擊。
根據(jù)Infoblox和測(cè)試服務(wù)公司收集的數(shù)據(jù)顯示,不到0.02%的DNS區(qū)域啟用了DNSSEC,而有96%因?yàn)镈NSSEC簽名過(guò)期而沒(méi)有通過(guò)驗(yàn)證。
DNS緩存中毒攻擊威脅在一年前由知名研究人員Dan Kaminsky發(fā)現(xiàn),而DNSSEC協(xié)議被認(rèn)為是抵御DNS緩存中毒攻擊的最佳防御。盡管Infoblox調(diào)查發(fā)現(xiàn)DNSSEC協(xié)議部署今年攀升了340%,但仍然有很長(zhǎng)的路要走。
Infoblox公司架構(gòu)副總裁同時(shí)也是DNS專家Cricket Liu表示,這次調(diào)查還首次研究了現(xiàn)有的DNSSEC 協(xié)議部署是否上升以及運(yùn)行情況,“關(guān)于DNSSEC協(xié)議部署的奇怪的現(xiàn)象就是,我們看到數(shù)據(jù)持續(xù)上升,但都是從極小的數(shù)字到更小的比率,”Liu表示, “這是我們第一次檢查在這些DNSSEC協(xié)議區(qū)域驗(yàn)證數(shù)據(jù)的能力,而幾乎有四分之一沒(méi)有通過(guò)驗(yàn)證,因?yàn)楹灻^(guò)期,這很令人失望。”
他表示,這些企業(yè)可能一直在將DNSSEC作為實(shí)驗(yàn),“這也就是說(shuō),加上一些工具,會(huì)讓DNSSEC協(xié)議變得很難運(yùn)行,”他說(shuō)道,“四分之一的區(qū)域過(guò)期說(shuō)明,DNSSEC協(xié)議的重新簽名并不是自動(dòng)的,大家設(shè)置好DNSSEC協(xié)議來(lái)進(jìn)行實(shí)驗(yàn),然后就不聞不問(wèn)了。”
與此同時(shí),Kaminsky一直致力于讓DNSSEC協(xié)議部署更加簡(jiǎn)單,他近日發(fā)布了一個(gè)免費(fèi)的工具包,Phreebird Suite1.0,該工具包可以讓企業(yè)嘗試使用DNSSEC協(xié)議,同時(shí)也向他們證明這個(gè)協(xié)議并不難部署。Phreebird Suite 1.0是一個(gè)位于DNS服務(wù)器前面的實(shí)時(shí)DNSSEC代理服務(wù)器,并且對(duì)其響應(yīng)進(jìn)行數(shù)字簽名。
Infoblox調(diào)查還發(fā)現(xiàn),在所有DNS域名服務(wù)器中,將近有75%的服務(wù)器位于單個(gè)授權(quán)區(qū)域,這樣容易出現(xiàn)單點(diǎn)故障,“這是很糟糕的事情,”Liu表示。如果路由基礎(chǔ)設(shè)施出現(xiàn)問(wèn)題或者故障,那么將會(huì)失去互聯(lián)網(wǎng)業(yè)務(wù)。
一些網(wǎng)絡(luò)目前仍然缺乏的是DNSSEC協(xié)議需要的基本網(wǎng)絡(luò)配置。Liu表示:將近20%的域名不允許TCP查詢,而26.4%不支持DNS協(xié)議的擴(kuò)展機(jī)制。
Infoblox建議企業(yè)為部署DNSSEC協(xié)議做好準(zhǔn)備,升級(jí)到最新版本的BIND,使用端口隨機(jī)化,隔離內(nèi)部和外部域名服務(wù)器,并且隔離授權(quán)DNS域名服務(wù)器和遞歸DNS域名服務(wù)器。
【編輯推薦】
