近來,網絡上出現網際網路漏洞——DNS緩存漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在于設計缺陷。利用該漏洞輕則可以讓使用者無法打開網頁,重則是網絡釣魚和金融詐騙,給受害者造成巨大損失。
DNS緩存中毒也稱為DNS欺騙,是一種攻擊,旨在查找并利用DNS或域名系統中存在的漏洞,以便将有機流量從合法伺服器吸引到虛假伺服器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導緻出現很多嚴重問題。首先,使用者往往會以為登陸的是自己熟悉的網站,而它們卻并不是。與釣魚攻擊采用非法URL不同的是,這種攻擊使用的是合法的URL位址。
DNS緩存中毒如何工作?
當一個DNS緩存伺服器從使用者處獲得域名請求時,伺服器會在緩存中尋找是否有這個位址。如果沒有,它就會上級DNS伺服器送出請求。
在出現這種漏洞之前,攻擊者很難攻擊DNS伺服器:他們必須通過發送僞造查詢響應、獲得正确的查詢參數以進入緩存伺服器,進而控制合法DNS伺服器。這個過程通常持續不到一秒鐘,是以黑客攻擊很難獲得成功。
但是,現在有安全人員找到該漏洞,使得這一過程朝向有利于攻擊者轉變。這是因為攻擊者獲悉,對緩存伺服器進行持續不斷的查詢請求,伺服器不能給與回應。比如,一個黑客可能會發出類似請求:1q2w3e.google.com,而且他也知道緩存伺服器中不可能有這個域名。這就會引起緩存伺服器發出更多查詢請求,并且會出現很多欺騙應答的機會。
當然,這并不是說攻擊者擁有很多機會來猜測查詢參數的正确值。事實上,是這種開放源DNS伺服器漏洞的公布,會讓它在10秒鐘内受到危險攻擊。
要知道,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大,因為沒有人會發出這樣的域名請求,但是,這正是攻擊者發揮威力的地方所在。通過欺騙應答,黑客也可以給緩存伺服器指向一個非法的伺服器域名位址,該位址一般為黑客所控制。而且通常來說,這兩方面的資訊緩存伺服器都會存儲。
由于攻擊者現在可以控制域名伺服器,每個查詢請求都會被重定向到黑客指定的伺服器上。這也就意味着,黑客可以控制所有域名下的子域網址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強大,任何涉及到子域網址的查詢,都可以引導至由黑客指定的任何伺服器上。
DNS緩存中毒有何風險?
DNS緩存中毒的主要風險是竊取資料。DNS緩存中毒攻擊的最喜歡的目标是醫院,金融機構網站和線上零售商。這些目标容易被欺騙,這意味着任何密碼,信用卡或其他個人資訊都可能受到損害。此外,在使用者裝置上安裝密鑰記錄器的風險,可能會導緻使用者通路其他站點時暴露其使用者名和密碼。
另一個重大風險是,如果網際網路安全提供商的網站被欺騙,那麼使用者的計算機可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊使用者則不會執行合法的安全更新。
據稱,DNS攻擊的年平均成本為223.6萬美元,其中23%的攻擊來自DNS緩存中毒。
如何防止DNS緩存中毒
那麼,企業究竟該如何防止DNS緩存中毒攻擊?要從以下幾點出發:
第一,DNS伺服器應該配置為盡可能少地依賴與其他DNS伺服器的信任關系。以這種方式配置将使攻擊者更難以使用他們自己的DNS伺服器來破壞目标伺服器。
第二,企業應該設定DNS伺服器,隻允許所需的服務運作。因為在DNS伺服器上運作不需要的其他服務,隻會增加攻擊向量大小。
第三,安全人員還應確定使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口随機化等功能,可以幫助防止緩存中毒攻擊。
第四,使用者的安全教育對于防止這些攻擊也非常重要。使用者應接受有關識别可疑網站的教育訓練,使用者要學會隻通路HTTPS網站,這有助于防止人們成為中毒攻擊的受害者,因為他們會確定不将他們的個人資訊輸入黑客的網站。如果他們在連接配接到網站之前收到SSL警告,則不會單擊“忽略”按鈕。 這樣就不會受到DNS緩存中毒攻擊。
結論
HTTPS是現行架構下最安全的解決方案,SSL證書可以很直覺的辨識出釣魚網站,避免網站受到DNS緩存中毒攻擊,保護資訊安全。部署SSL證書一定要選擇一個具有公信力的CA機構,選擇CA機構最好是通過國際Webtrust标準的認證,具備了國際電子認證服務能力的CA機構,通過國際Webtrust标準的認證意味着CA機構的營運管理和服務水準符合國際标準,并且有能力、有資質提供全球化認證服務,是可靠電子認證服務的有效證明。