Jul 232008
 

这个月出现的一个关于DNS的漏洞已经可以在很多新闻里看到了,然而如以前一样,国内对于类似事件的报道毫无深度,甚至在技术上还存在不少翻译带来的的误读,非常不靠谱。

首先必须要知道的一点是这是DNS解析机制本身的漏洞,并不是单纯某一个产品的问题,因此几乎所有的DNS Server都会受影响。

其次这个漏洞的攻击表现是未经授权地篡改某些DNS解析出来的地址结果,其最终目的是诱使客户在没有意识到的情况下访问到黑客精心布置的页面,从而达到其目的。也就是说此漏洞影响的不仅仅是DNS Server,域名或网站运营者,还有所有的访问互联网的人。

早些时候的讨论,仅仅认为这是个比较难以利用的潜在漏洞,但从这几个月的形式来看,漏洞被成功利用的几率在精心构建的攻击行为下大大增加,甚至就在昨天,被证明是有效的漏洞利用方式的细节已经在小范围内传播了。据发布者预测,应该就在今天,将会有确实的攻击行为出现。对细节感兴趣的可以看这里

即将产生的破坏究竟有多大,是很难估量的,但至少可以确认,将会有很多客户的敏感资料遭受威胁。对于整个互联网DNS体系,从来没有像这样一次如此大规模的影响事件,同时考虑到互联网整体对于DNS安全的重视程度还远远未如Web安全那样高,接下来应该会有比较长时间的动荡期。国内在这方面尤为落后,恐怕会在接近半年的时间内,将会出现很多帐号盗窃,流量注入,甚至域名劫持之类的事件出现。

要将此漏洞完全解决,必须是互联网上所有解析服务器和缓存服务器都做好相应升级之后才可能,对于DNS Server管理员,要做的就是尽快将自己手头的Server补丁打好。而对于普通互联网使用者,在这段期间内所能做的,就是尽量选择可靠的DNS服务器。考虑到国内电信等ISP的技术能力和响应速度,恐怕比较靠谱的临时解决放案是使用本地架设的DNS缓存服务器或者使用已经证实不存在问题的服务器,例如OpenDNS。

这就像是一场瘟疫,光自己做好防护还不够,至少要你周围的人都可信才行。

但愿我过于悲观地预测了这次事故造成的影响。

  5 Responses to “DNS漏洞”

  1. 居然看见了这个… 谁评论一下?
    http://cr.yp.to/djbdns/forgery.html

  2. 果然够专业

  3. DNSSec应该要赶鸭子上架了。

  4. 我一直都用OpenDNS,哈哈!谁叫电信的114太可恶了。我一直都看你的博客哦,不过最近发现DreamHost的速度越来越慢了。

  5. 恩你站点现在打开速度是越来越慢了

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>