长期攻击dNS从粗力拒绝服务攻击到需要专用软件的定点攻击不等2008年7月,新DNS缓冲攻击揭幕,被认为特别危险,因为它不需要大带宽或处理器资源,也不需要精密技术
内名系统攻击历史悠久,从粗力拒绝服务攻击到有目标攻击需要专用软件不等。2008年7月,新DNS缓冲攻击揭幕,被认为特别危险,因为它不需要大带宽或处理器资源,也不需要精密技术
缓存毒害攻击者试图插入假地址记录 互联网域存入dNS服务器接受假记录时,缓存中毒,并随后请求域名时由攻击者控制服务器地址回答用户浏览器或电子邮件服务器自动转到失密dNS服务器提供地址显示dNS缓存中毒效果
此类攻击常归为“药用攻击”,并产生数项问题用户自认为身处熟悉网站,不同于网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际记住,浏览器自动解决域名地址问题,用户方面不作任何形式的干预,而且,由于没有异常发生,他们没有理由怀疑。
问题二是,数以百计或千计用户可重定向,如果攻击者成功插入单假输入缓存服务器问题规模因请求域受欢迎而放大获取密码和其他贵重或敏感信息
有可能以类似方式攻击电子邮件系统攻击者不为Web服务器插入假记录插入DNS缓存服务器,而是为邮件服务器插入假记录,从而将企业邮件重定向为他们所控服务器
攻击者需要怎么做才能说服缓存服务器接受假输入?DNS缓存服务器从订阅者处查询域时,它看它是否有条目缓存if not它请求权威ds服务器(由域名寄存或域主自己操作)并等待响应
之前攻击者只能利用这个狭义开口:他们不得不通过发送假查询响应击败合法权威DNS服务器,希望先用正确查询参数值登陆缓存服务器通常这些竞赛只持续几分秒,使攻击者难以成功
竞争动态剧变 偏向攻击者 这一新的脆弱性 因为安全研究者想出消除短时窗的方法快速向缓存服务器发送问题实现,攻击者知道服务器无法回答举例说,攻击者可查询lq2w3e.google.com在哪里,知道缓存服务器不太可能有此项并创造数以百万计的机会发送假答案
而不是只有一场比赛攻击者能拥有数以百万计,从而创造更多机会猜对值查询参数并制造攻击危险事实证明开源dNS服务器十秒内失密
下毒lq2w3e.google.com项无效,因为没有人会请求域名,但这就是攻击最后部分开始作用的地方:攻击者在假回答中还指针缓存服务器对域名攻击者想妥协的假名服务器缓存服务器存储这两种信息
自攻击者控制域名服务器以来,以后对域的查询都指向攻击者服务器表示攻击者现在控制域内所有子域: www.bigbank.com,mail.bigbank.com超强势请求子域可指向攻击者选择的服务器
为解决上述问题,决定用于查询的UDP端口不应再为默认端口53,而应随机从全域UDP端口选择端口(除保留端口)。UDP源端随机化或UDPSPR调用使攻击者更难猜询参数,因为现在16位查询ID和最多16位UDP端口必须正确,共达40亿组合
企业发现他们的dNS服务器位于提供网络地址翻译(NAT)的各种设备后方多数NATs解密dNS服务器使用UDP端口,使新修复效率下降IT管理员对开通防火墙内全域UDP端口不热心更糟糕的是,另一位安全研究者显示,即使通过64000 UDP端口随机分解提供保护,仍然有可能毒害dNS服务器
现在怎么办
时间考虑替代方法 安全dNSUDP源端随机化是一个有用的防线,但需要平衡UDPSPR向DNS提供的保护与开通一系列端口或降低防火墙性能造成的接触。安全操作模式dNS服务器,如检测到潜在攻击时切换TCP连接,是另一种有用的防御
攻击者走运并猜出调试响应的必要参数时需要额外防御表示dNS服务器需要提高智能分析查询响应,以便从攻击者发送的假回答中丢弃潜在有害信息
Bob Halley诺米努姆首席架构师