立即修补DNS漏洞
【文/吴其勋(iThome电脑报副总编辑)】
美国电脑紧急应变小组(US-CERT)日前发出DNS伺服器漏洞的通报,呼吁大家要重视DNS设计上的漏洞,赶紧修补,以避免被利用来发动DNS快取污染攻击,而造成波及大量电脑的资安事件。
在诈骗横行的今日,如果电话查号台被诈骗集团劫持了,而且诈骗集团还伪装成查号台继续服务,提供错误的电话号码给民众,例如,民众要查询某家银行的电话,这个假的查号台就提供一个由诈骗集团伪装的电话,那么民众不知不觉中就落入诈骗集团的圈套,任人宰割了。
在真实世界中,电话查号台被劫持的可能性颇低,上述情节要发生的机率很低。然而,在网路世界里,一个类似的状况却有可能会发生,那就是DNS快取污染的问题(DNS Cache Poisoning)。
美国电脑紧急应变小组(US-CERT)日前已经发出DNS伺服器漏洞的通报,但近日IOActive公司的安全研究员Dan Kaminsky证实了,以DNS漏洞来发动攻击的可能性,于是US-CERT又再度于8月1日更新警告通报,呼吁大家要重视DNS设计上的漏洞,赶紧修补,以避免被利用来发动DNS快取污染攻击,而造成波及大量电脑的资安事件。
我们要浏览网际网路,通常是在浏览器输入URL,像是
ithome.com.tw...,而不是输入IP位址(像是192.168.1.1),因为我们不容易记住一长串的数字。要由URL转换为IP,就需要藉助DNS的查询服务。当使用者输入网站的URL之后,电脑就会对DNS伺服器发出查询请求,DNS伺服器会查询是否有该URL的IP位址记录,如果没有,就会再进一步往上请求根伺服器查询,一旦查到了URL所对应的IP位址之后,DNS伺服器就会回覆,电脑就根据所接收的IP位址去连结网站。
DNS服务很像是电话查号台一样,只是一般人是在不知道电话号码的情况下才会使用查号服务,而DNS服务却是每次上网都得使用。问题来了,如果 DNS服务像上述的查号台被劫持的情况一样,提供给使用者错误的IP位址,那么电脑使用者就会在不知不觉中连上恶意网站。以现今的恶意手法来看,缺乏足够防护的电脑一旦连上网站,整台电脑极有可能就会被完全掌控,不仅是资料外泄,更会被恶意人士拿来当做傀儡电脑,对其他目标发动攻击。
由于DNS先天上设计的不足而让骇客有可乘之机(例如TXID只有16位元的长度),Dan Kaminsky日前证实了,可以用假冒的DNS伺服器来劫取用户电脑要查询DNS的讯息,并回报给使用者假冒网站的IP位址,而使用者的电脑只会信以为真,并无法辨识出是假冒的DNS伺服器所传回的讯息。
因为这是先天设计上的问题,因而多数的DNS伺服器都有相同的漏洞,据Dan Kaminsky后续的追踪,仍有半数的DNS伺服器尚未修补相关漏洞。对企业而言,现在有必要检视DNS的漏洞问题,目前已有一些网站提供免费的线上检测服务,可立即诊断DNS的漏洞。及早发现漏洞,就能早一点要求ISP修补,以避免资安事件的发生。请见本期深度报导的分析。
此外,本期封面故事报导远端备份的新作法,藉由重复资料删除技术与网路备份的配合,企业将更容易实现每天将大量资料备份到异地。以往,面对备份资料量大、网路频宽不足的两难,要把每天的备份资料备存在异地,通常的作法是把磁带载运到异地端,现在,有了重复资料删除技术,可以先把每日备份的资料量大幅缩减,就能实现透过网路将备份资料传到异地机房了,请见本期封面故事的分析。
资料来源:iThome online
原文出处:
http://www.ithome.com.tw/it...php?c=50429
