近來(lái)，網(wǎng)絡(luò)上出現(xiàn)史上最強(qiáng)大的互聯(lián)網(wǎng)漏洞——DNS緩存漏洞，此漏洞直指我們應(yīng)用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng)，而安全性差的根源在于設(shè)計(jì)缺陷。利用該漏洞輕則可以讓用戶無(wú)法打開(kāi)網(wǎng)頁(yè)，重則是網(wǎng)絡(luò)釣魚(yú)和金融詐騙，給受害者造成巨大損失。

緩存中毒攻擊者(cache poisoning)給DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址，如果服務(wù)器接受這個(gè)非法地址，那說(shuō)明其緩存就被攻擊了，而且以后響應(yīng)的域名請(qǐng)求將會(huì)受黑客所控。當(dāng)這些非法地址進(jìn)入服務(wù)器緩存，用戶的瀏覽器或者郵件服務(wù)器就會(huì)自動(dòng)跳轉(zhuǎn)到DNS指定的地址。

這種攻擊往往被歸類(lèi)為域欺騙攻擊(pharming attack)，由此它會(huì)導(dǎo)致出現(xiàn)很多嚴(yán)重問(wèn)題。首先，用戶往往會(huì)以為登陸的是自己熟悉的網(wǎng)站，而它們卻并不是。與釣魚(yú)攻擊采用非法URL不同的是，這種攻擊使用的是合法的URL地址。

另外一個(gè)問(wèn)題是，成百上千的用戶會(huì)被植入緩存中毒攻擊的服務(wù)器重定向，引導(dǎo)至黑客設(shè)立的圈套站點(diǎn)上。這種問(wèn)題的嚴(yán)重性，會(huì)與使用域名請(qǐng)求的用戶多少相關(guān)。在這樣的情況下，即使沒(méi)有豐富技術(shù)的黑客也可以造成很大的麻煩，讓用戶稀里糊涂的就把自己網(wǎng)銀帳號(hào)密碼，網(wǎng)游帳號(hào)密碼告訴給他人。

用這種類(lèi)似的方法，郵件系統(tǒng)也會(huì)受到黑客攻擊。只不過(guò)不是給Web服務(wù)器，而是給郵件服務(wù)器非法地址，從而讓系統(tǒng)引導(dǎo)至受到控制的郵件服務(wù)器中。

那么，黑客究竟是怎么做到使緩存服務(wù)器接受非法地址呢？當(dāng)一個(gè)DNS緩存服務(wù)器從用戶處獲得域名請(qǐng)求時(shí)，服務(wù)器會(huì)在緩存中尋找是否有這個(gè)地址。如果沒(méi)有，它就會(huì)上級(jí)DNS服務(wù)器發(fā)出請(qǐng)求。

在出現(xiàn)這種漏洞之前，攻擊者很難攻擊DNS服務(wù)器：他們必須通過(guò)發(fā)送偽造查詢響應(yīng)、獲得正確的查詢參數(shù)以進(jìn)入緩存服務(wù)器，進(jìn)而控制合法DNS服務(wù)器。這個(gè)過(guò)程通常持續(xù)不到一秒鐘，因此黑客攻擊很難獲得成功。

但是，現(xiàn)在有安全人員找到該漏洞，使得這一過(guò)程朝向有利于攻擊者轉(zhuǎn)變。這是因?yàn)楣粽攉@悉，對(duì)緩存服務(wù)器進(jìn)行持續(xù)不斷的查詢請(qǐng)求，服務(wù)器不能給與回應(yīng)。比如，一個(gè)黑客可能會(huì)發(fā)出類(lèi)似請(qǐng)求：1q2w3e.google.com，而且他也知道緩存服務(wù)器中不可能有這個(gè)域名。這就會(huì)引起緩存服務(wù)器發(fā)出更多查詢請(qǐng)求，并且會(huì)出現(xiàn)很多欺騙應(yīng)答的機(jī)會(huì)。

當(dāng)然，這并不是說(shuō)攻擊者擁有很多機(jī)會(huì)來(lái)猜測(cè)查詢參數(shù)的正確值。事實(shí)上，是這種開(kāi)放源DNS服務(wù)器漏洞的公布，會(huì)讓它在10秒鐘內(nèi)受到危險(xiǎn)攻擊。

要知道，即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大，因?yàn)闆](méi)有人會(huì)發(fā)出這樣的域名請(qǐng)求，但是，這正是攻擊者發(fā)揮威力的地方所在。通過(guò)欺騙應(yīng)答，黑客也可以給緩存服務(wù)器指向一個(gè)非法的服務(wù)器域名地址，該地址一般為黑客所控制。而且通常來(lái)說(shuō)，這兩方面的信息緩存服務(wù)器都會(huì)存儲(chǔ)。

由于攻擊者現(xiàn)在可以控制域名服務(wù)器，每個(gè)查詢請(qǐng)求都會(huì)被重定向到黑客指定的服務(wù)器上。這也就意味著，黑客可以控制所有域名下的子域網(wǎng)址：www.bigbank.com，mail.bigbank.com，ftp.bigbank.com等等。這非常強(qiáng)大，任何涉及到子域網(wǎng)址的查詢，都可以引導(dǎo)至由黑客指定的任何服務(wù)器上。

如何應(yīng)對(duì)？

為了解決這些問(wèn)題，用于查詢的UDP端口不應(yīng)該再是默認(rèn)的53，而是應(yīng)該在UDP端口范圍內(nèi)隨機(jī)選擇(排除預(yù)留端口)

但是，很多企業(yè)發(fā)現(xiàn)他們的DNS服務(wù)器遠(yuǎn)落后于提供網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation ，NAT)的各種設(shè)備。大部分NAT設(shè)備會(huì)隨機(jī)選擇NDS服務(wù)器使用的UDP端口，這樣就會(huì)使得新的安全補(bǔ)丁會(huì)失去效果。IT經(jīng)理也不會(huì)在防火墻中開(kāi)放全方位的UDP端口。更嚴(yán)重的是，有安全研究員證明，即使提供64000UDP端口中隨機(jī)選擇的保護(hù)，DNS服務(wù)器也照樣有可能受到中毒攻擊。

現(xiàn)在是時(shí)候考慮保護(hù)DNS的其他方案了。UDP源端口隨機(jī)化選擇是一種比較有用的防護(hù)舉措，但是這會(huì)打破UDP源端口隨機(jī)化給與DNS服務(wù)器的保護(hù)，同由此全方位開(kāi)放端口面臨的風(fēng)險(xiǎn)或者降低防火墻性能這兩者間的平衡關(guān)系。還有一種比較有效的防護(hù)措施就是，當(dāng)檢測(cè)到面臨潛在攻擊風(fēng)險(xiǎn)時(shí)，讓DNS服務(wù)器切換到使用TCP連接。

如果攻擊者猜測(cè)到了必要的參數(shù)以欺騙查詢響應(yīng)，那么就需要額外的防御措施了。這意味著DNS服務(wù)器需要更智能化，能夠準(zhǔn)確分析每個(gè)查詢響應(yīng)，以便剔除攻擊者發(fā)送的非法應(yīng)答中的有害信息。