据一项全球互联网服务器调查显示,有超过10%的互联网DNS服务器仍然易受缓存投毒攻击(Cache Poisoning Attack)的攻击。专家表示,尽管几个月前就公布了DNS漏洞及修复补丁,但实际结果并不理想。
Infoblox的架构副总裁Cricket Liu表示,“全球大约有1190万台服务器,其中有超过40%的服务器开启了递回查询(recursion),也就是说他们接收任何人的查询。另外,有大约四分之一的服务器没有修复补丁。因此,可以说,有130万域名服务器正处于易受攻击状态,”
七月份Dan Kaminsky发现了缓存投毒漏洞(Cache-poisoning),并于几天内公布了该漏洞的详细信息。
针对缓存投毒漏洞的模块配置已经被加入到攻击和渗透测试工具Metasploit中。
就现在而言,解除缓存投毒漏洞威胁的最佳办法是通过靠随机化端口来避免,通过从不同的源端口发送DNS查询请求,这样攻击者就很难决定将恶意数据发送到哪个端口。
Cricket Liu表示,“端口随机化确实能够减小漏洞带来的威胁,但是却不能够完全阻止攻击。端口随机化就好像是在密码核对的路上设置了路障,而这正是DNSSEC安全扩展所做的工作。DNSSEC还将花费很长的时间才能得到普及部署,因为它涉及到很多基础设备:密钥管理、区域签署、公共密钥签署等。我们以为今年能够看到部署DNSSEC的服务器数量会有明显的增加,但是我们在一百万样本中只看到45条DNSSEC记录,去年这个数字是44。”
专家表示,在调查中同时也发现了一些好消息,例如,对于SPF的支持从去年的12.6%增加到今年的16.7%。SPF是指发送人政策框架,能够打击电子邮件诈骗发生的几率。
此外,连接到互联网的不安全Microsoft DNS服务器系统的数量也从总数的2.7%下降到0.17%。
专家还表示,“我希望看到开放递归服务器的使用比例不断下降,因为即使这种服务器修复了补丁,都会很容易受到拒绝服务攻击的危害。我们不能避免要使用递归服务器,但是没必要赋予所有人使用服务器的权利。”
未来,恐怕只有那些对开放递归DNS服务器有专门需求的并且有足够的技术力量能够使其免受攻击威胁的公司才会运行递归服务器。