Survey: Isang DNS Server sa 10 Ay 'trivially Vulnerable'

Higit sa 10 porsiyento ng mga DNS ng Internet (Domain Name System) na mga server ay mahina pa rin sa mga pag-atake ng cache-pagkalason, ayon sa isang worldwidesurvey ng nakaharap sa publiko na mga nameserver ng Internet.

"Tinatantya namin na mayroong 11.9 million nameservers out doon, at higit sa 40 porsiyento ay nagpapahintulot sa bukas na recursion, kaya't tinatanggap nila ang mga query mula sa sinuman. "Sa mga ito, ang isang apat na bahagi ay hindi pinagsama, kaya mayroong 1.3 milyong nameservers na walang pakialam," sabi ni Liu, na siyang vice president ng architecture ng Infoblox. mula sa iyong Hangin ay maaaring payagan ang iba pang mga DNS server recursion, ngunit hindi bukas sa lahat, kaya hindi sila kinuha ng survey, sinabi niya.

Sinabi Liu ang kahinaan ng cache-pagkalason, na kung saan ay madalas na pinangalanang Si Dan Kaminsky, ang researcher ng seguridad na nag-publish ng mga detalye nito sa Hulyo, ay tunay: "Kaminsky ay pinagsamantalahan sa loob ng mga araw ng pagiging ginawang pampubliko," sinabi niya.

Module na nagta-target ang kahinaan ay idinagdag sa pag-hack at pagtagos tool sa pagsubok Metasploit, halimbawa. Gayunpaman, ang isa sa mga unang DNS server na naka-kompromiso sa pamamagitan ng pag-atake sa pagkalason sa cache ay isa na ginamit ng may-akda ng Metasploit, HD Moore.

Sa ngayon, ang panlinis sa pagkalason ng pagkalason ng cache ay randomization ng port. Sa pamamagitan ng pagpapadala ng mga query sa DNS mula sa magkakaibang mga port ng source, ito ay ginagawang mas mahirap para sa isang magsasalakay na hulaan kung aling port ang magpadala ng poisoned data sa.

Gayunpaman, ito ay isang bahagyang pag-ayos, binabalaan ni Liu. "Pinipigilan ng Port randomization ang problema ngunit hindi ito ginagawang isang atake," ang sabi niya. "Ito ay talagang lamang isang stopgap sa paraan sa cryptographic checking, kung saan ay kung ano ang DNSSEC seguridad extension gawin.

" DNSSEC ay pagpunta sa isang buong pulutong na ipatupad bagaman, dahil mayroong isang pulutong ng imprastraktura na kasangkot - key pamamahala, pag-sign zone, pampublikong susi sa pag-sign, at iba pa. Naisip namin na maaari naming makita ang isang kapansin-pansin uptake sa DNSSEC pag-aampon sa taong ito, ngunit nakita lamang namin 45 DNSSEC talaan ng isang milyong sample. Nitong nakaraang taon, nakita namin ang 44. "

Sinabi ni Liu na sa positibong panig, ang survey ay nagbigay ng maraming mga item ng mabuting balita. Halimbawa, ang suporta para sa SPF - ang balangkas ng patakaran ng nagpadala, na nakikipaglaban sa e-mail spoofing - ay lumitaw sa nakalipas na 12 buwan mula sa 12.6 porsiyento ng mga zone na tinipon sa 16.7 porsyento.

Bilang karagdagan, ang bilang ng mga hindi secure Microsoft DNS Server system na konektado sa Internet ay bumaba mula sa 2.7 porsyento ng kabuuang sa 0.17 porsiyento. ang mga sistemang ito ay maaaring magamit pa rin sa loob ng mga organisasyon, ngunit sinabi ang mahalagang bagay na "ang mga tao ay naghihiwalay mula sa pagkonekta sa Internet."

Inaasahan, sinabi ni Liu na ang mga organisasyon lamang na may partikular na pangangailangan para sa bukas na recursive DNS ang mga server - at ang teknikal na kakayahang panatilihin ang mga ito mula sa pagiging baha - ay dapat patakbuhin ang mga ito.

"Gusto kong makita ang porsyento ng mga bukas na mga server ng recursive bumaba, dahil kahit na ang mga ito ay patched sila gumawa ng mahusay na amplifiers para sa pagtanggi -sa-serbisyo-atake, "sinabi niya." Hindi namin magagawa mapupuksa ang mga server ng recursive, ngunit hindi mo kailangang pahintulutan ang sinuman na gamitin ang mga ito. "