保罗·莫卡派乔斯,互联网的域名系统架构的发明者,对那些在有关披露昨天在DNS协议的弱点的严重性有任何疑问一些建议:修补DNS服务器现在。
该漏洞,它允许攻击是最危险已在DNS协议被发现至今,莫卡派乔斯与计算机世界周三上午接受记者采访时说。
“这是绝对关键的IT管理升级他们的软件。他们想让非常肯定地说他们周边的缓存服务器都及格,”莫卡派乔斯说。此外,他们还需要确保客户端设备,如可能嵌入了DNS软件是正确修补DSL调制解调器。“时间来修复就是现在。时间在流逝,”针对该漏洞成为广泛使用的漏洞之前,他说。
所谓的DNS缓存投毒漏洞是由卡明斯基,在安全公司IOActive的公司在今年早些时候的研究人员发现的。该漏洞使恶意的攻击方式非常快速地重定向Web流量和电子邮件到其控制下的系统。事实上,在互联网上解决IP地址的每个域名服务器是脆弱的缺陷,因为是嵌入式软件的DNS客户端设备。
根据问题的卡明斯基的描述,在疲软交易识别过程中存在DNS协议的用途来确定DNS查询的响应是否合法。该漏洞基本上允许攻击者通过伪造的数据注入它毒害DNS服务器高速缓存中。
该缺陷存在于DNS协议级别和影响从多个供应商的许多产品。美国计算机应急准备小组(US-CERT),这是第一批有关问题通知时,卡明斯基发现了它,昨天发布咨询描述了这个问题,并列出了80供应商,其产品通过了漏洞的影响。其中几个公司,包括微软,思科系统公司,Sun微系统公司,红帽公司和Nominum公司公司的,同时发布补丁日。
据莫卡派乔斯,开发由卡明斯基发现那种DNS缓存中毒不是特别新概念;它基本上是由试图猜测正确的DNS数据包标识工作。是什么让卡明斯基的利用致命的是,它是更为有效的在别人面前这样做比什么。“他已经想出了一个办法,使攻击更危险。使用这种技术能有人在中毒约10〜20分钟,缓存服务器,”根据其种类可用带宽,莫卡派乔斯说。
Mockapetris补充说,供应商昨天发布的软件补丁旨在通过使猜测数据包标识符变得更加困难来削弱Kaminsky的开发的效力。Mockapetris说,即便如此,他警告说,随着Kaminsky计划在即将到来的黑帽安全大会上公开他的利用细节,预计会看到许多人共同努力使用该技术侵入DNS服务器。互联网服务提供商可能会成为更大的攻击目标,因为它们的一个DNS服务器受到的攻击可能比针对企业服务器的攻击产生更广泛的影响。
了解更多关于这个话题
这个故事,“补丁域名服务器现在,说DNS发明家”最初发表《计算机世界》 。