由于安全研究人员卡明斯基披露在DNS的一个严重缺陷,它使黑客发起缓存中毒攻击,即流量从合法网站重定向到一个假的没有网站经营者或最终用户不知道一年过去了。卡明斯基的披露是一个警钟约在DNS中,基础性的互联网标准,IP地址与域名相匹配的固有的弱点网络供应商和互联网服务供应商。
安全研究员丹·卡明斯基已经过去一年了暴露了一个严重的缺陷在它使黑客发动DNS缓存中毒攻击,在这种情况下,流量从合法网站重定向到虚假网站,而网站运营商或最终用户并不知情。卡明斯基的披露是一个警钟约在DNS中,基础性的互联网标准,IP地址与域名相匹配的固有的弱点网络供应商和互联网服务供应商。
围绕卡明斯基发现的大肆宣传也给了他急需的推动力DNS安全扩展(DNSSEC),一个附加安全机制,已是昨日黄花,由于缺乏由网络管理人员的需求。
卡明斯基``的DNS漏洞的帮助提高认识也一般互联网安全和在多大程度上依赖我们是在没有内置安全协议,但”斯科特玫瑰,计算机科学家与说美国国家标准和技术研究院也是DNS安全方面的专家
``有没有在协议社区关于DNS的漏洞和需要DNSSEC部署的讨论始终,但问题没有得到来自外部的”感谢卡明斯基一个巨大的推动,罗斯说。``他提出,当你攻击DNS会发生什么问题。这不只是有关重定向浏览器,但颠覆电子mail.All其他袭击事件概述的卡明斯基带来的问题的最前沿。””
专家表示,由于卡明斯基的发现,过去12个月在加强DNS安全性方面所做的工作比过去10年都要多。然而,在缓存中毒攻击时,DNS仍然像以前一样脆弱。
Secure64首席运营官乔•格施(Joe Gersch)表示:“卡明斯基漏洞对整个互联网社区来说是件大事。”Secure64销售DNS服务器软件和用于迁移到DNSSEC的自动化工具。在去年夏天的黑帽会议上,当卡明斯基在一群只能站着的人面前详细说明DNS缓存中毒的威胁时,Gersch出席了。
格施说:“卡明斯基花了20分钟来解释它是如何工作的,然后他一个接一个地讲述如何在一个半小时内利用它的案例。”他向人们展示了一旦你拥有了DNS,你就拥有了一切。他向我们展示了这个漏洞是多么阴险,以至于你甚至都不知道你已经被攻破了。下巴下降。”
格施说,卡明斯基确实比在DNS中固有的缺乏安全性提高认识。``这是一个行动相当大的号召,第一面片,然后...... DNSSEC部署,”格施说。
从那时起,大多数——但不是全部——网络工程师开始工作已经修补对卡明斯基错误的DNS服务器。补丁是什么Kaminsky建议作为短期修复这个漏洞。
对于卡明斯基式攻击的长期解决办法是DNSSEC,这将阻止缓存允许网站验证自己的域名,并使用数字签名和公共密钥加密对应的IP地址欺骗攻击。
问题是,DNSSEC效果最好时,它是完全通过互联网部署:从根区域在DNS层次结构的顶端,个别顶级域名如.com和.net,下至个人域名。在此之前,网站仍然容易受到卡明斯基式攻击。
该卡明斯基缺陷是``对DNSSEC的主要推动力“,”越飞罗德尼,高级副总裁兼高级技术与NeuStar公司,主要销售管理DNS服务,并说:临时修复贮藏中毒攻击称为贮藏防御者。Joffe说,问题在于,我们距离DNSSEC的部署还有一年甚至更长的时间。
在此期间,互联网服务提供商和网站运营商都看到了越来越多的缓存中毒攻击,虽然他们几个被公开披露。
7月17日,爱尔兰ISPEircom公司报道从流行的Web网站,如Facebook,以伪造的Web站点,这是一个缓存中毒攻击,导致两个主要的中断和客户是一个受害者重新定向。
四月,巴西银行布拉德斯科证实它的一些客户被重定向到一个试图窃取他们的密码,因为它的ISP,网络VIRTUA,是一个缓存中毒攻击的受害者网站。
“我们看到了缓存中毒攻击的证据,因为我们监控开放的递归服务器,我们看到它正在持续发生,”Joffe说。一年前,这是一个理论上的威胁。今天,它的发生。”
的缓存中毒攻击的风险已比去年同期因为卡明斯基漏洞在黑客社区众所周知实际上更大。
“缓存中毒攻击的发生率在上升,人们之所以害怕,是因为他们是阴险的小野兽,”格施说。他指出,公司往往没有意识到他们是缓存中毒攻击的受害者。“我们希望使用DNSSEC,但业界正在研究解决这个问题的创造性方法,直到DNSSEC得到部署。”
显著进展,在DNSSEC部署取得的最后一年。
美国联邦政府强制要求DNSSEC在其.GOV域名进行部署由2009年年底,并正在采取措施,以确保DNS根服务器在同一时间段内签署。到2010年6月,联邦机构也将被要求在其内部面对的DNS服务器上部署DNSSEC。
罗斯说:“大约有70个代表团在。gov网站上签字。”他指出,www.nist.gov网站是最早采用DNSSEC的网站之一。
该.ORG域支持DNSSEC一样,瑞典,巴西,波多黎各,保加利亚和捷克共和国运营的国家代码顶级域名。最显著是VeriSign公司计划在.com和.net部署DNSSEC,它说将会完成到2011年。
Joffe说:“今年肯定是DNSSEC的一年。”我们已经做了13年,但今年是DNSSEC成为现实的一年。”
DNSSEC仍然存在一些技术故障,专家警告说,当网站的域名切换到新的安全协议时,由于配置问题,网站可能无法使用。
``最大的业务障碍,我们已经看到了一些小的家庭路由器和一些入侵检测系统和防火墙与有麻烦DNSSEC默认配置“,”罗斯说。``用户必须回去重新配置这些系统更大的反应来处理来与DNSSEC密钥和签名。””