” client 143.215.143.11 query (cache) ‘www.ebay.com/ANY/IN’ denied: 31
Time(s)
client 143.215.143.11 query (cache) ‘www.facebook.com/ANY/IN’
denied: 30 Time(s)
client 143.215.143.11 query (cache) ‘www.gmail.com/ANY/IN’ denied:
30 Time(s)
client 143.215.143.11 query (cache) ‘www.google.com/ANY/IN’ denied:
30 Time(s)
client 143.215.143.11 query (cache) ‘www.live.com/ANY/IN’ denied: 30
Time(s)
client 143.215.143.11 query (cache) ‘www.microsoft.com/ANY/IN’
denied: 30 Time(s)
client 143.215.143.11 query (cache) ‘www.msn.com/ANY/IN’ denied: 30
Time(s)
client 143.215.143.11 query (cache) ‘www.myspace.com/ANY/IN’ denied:
30 Time(s)”
你對此感到驚訝么?反正我是一點也不���,這是相當合乎邏輯的,因為這三個公開提供的攻擊代碼在過去幾天里已經(jīng)有了超過一萬五千次的下載�����。我感到驚訝的其實是���,過了這么長的時間才有一個小組這么做�。盡管媒體已經(jīng)提醒過需要加強重視���,但不論是大的國際的還是本地互聯(lián)網(wǎng)服務供應商仍然都很脆弱��。諷刺的是���,即使它們已經(jīng)安裝了相關的補丁,也還是很脆弱����。不安全的和錯誤的域名系統(tǒng)服務器,將繼續(xù)成為一個現(xiàn)實的威脅�,即使在Web 2.0的世界中也不例外。
早在2004年進行的一項關于域名系統(tǒng)的安全調(diào)查就表明:
“對于域名系統(tǒng)服務器的調(diào)查顯示�����。在所有166771臺域名服務器中,有27141臺服務器存在已知的漏洞��。這些漏洞可以影響185002個域名�����。認為17%脆弱的域名服務器只會影響17%的域名的想法是天真的��。結(jié)果顯然不是如此���。信任關系會將“毒藥”通過每一個不安全的域名服務器進行傳播。因此�,有34%的域名服務器會被用來進行著名的腳本攻擊。”
而早在2005年發(fā)布的另一份關于域名系統(tǒng)安全的研究報告則顯示�,84%的互聯(lián)網(wǎng)域名服務器可以被方便的轉(zhuǎn)發(fā)欺騙攻擊。即使進行比較保守的估計���,也可以相信在三年后�����,至少還有50%以上的互聯(lián)網(wǎng)域名服務器仍然很脆弱���。下面��,我們看一下���,Infoblox去年關于域名系統(tǒng)安全的統(tǒng)計調(diào)查報告顯示了什么樣的結(jié)果:
“仍然有百分之五十以上的互聯(lián)網(wǎng)域名服務器支持進行遞歸查詢,這和2006年的結(jié)果一致���。支持來自任意地址的遞歸查詢�,可以導致攻擊者從域名系統(tǒng)服務器發(fā)出大量的DoS拒絕服務攻擊��,也容易受到緩存中毒攻擊����。支持層遞(transfer zones)的域名服務器略有增加,從29%上升到31%����。但這個變化也可能是內(nèi)部調(diào)查的抽樣誤差造成的,這說明�����,這方面的安全狀況并沒有改善����。改變BIND 9操作系統(tǒng)的默認設置對于域名服務器安全可能有幫助
(改變BIND 9.4操作系統(tǒng)的默認遞推設置就是一個不錯的選擇)��。
此外�����,麻省理工學院的虛擬IP項目自從2005年誕生以來�,一直在自動生成關于全球各地的國家域名服務器的安全情況的圖示����,并且對具有易感性的IP欺騙給予了特別關注�。最近關于脆弱性的討論實際上炒作的成分很大,域名系統(tǒng)緩存攻擊行為已經(jīng)存在了很多年�,在近期也不會有消失的跡象。
最重要的是���,惡意攻擊者不需要利用這個漏洞�,也可以通過日常分析�����,成功地進行網(wǎng)絡犯罪�����。在多年的漠視后,不可能在短短的幾天內(nèi)解決問題��。在這之前���,需要對局勢進行控制���,檢查你的互聯(lián)網(wǎng)服務供應商正在運行的域名服務器是否容易遭到緩存攻擊,清除可能被惡意攻擊者用來進行攻擊的漏洞����。
