根据互联网域名服务器全球市场调研结果显示,互联网上有超过10%的域名服务器受到cache-poisoning的威胁和攻击。
受托进行本次年度调查的Infoblox公司的域名服务器专家Cricket Liu表示,发现和定位这些攻击花费他们几个月的时间。
担任DNS管理技术厂商Infoblox公司体系架构副总裁的Liu介绍说“我们估计有1190万台域名服务器,有超过40%的服务器允许公开递归,因此他们允许任何来源的的域名查询。当然有1/4的域名服务器显示他们没有打补丁。因此有130万台域名服务器不具备抵御攻击的能力”。
其他的域名服务器也同样允许递归查询,但不对每个人公开,因此他们没在调研数据统计之列。
Liu表示继安全研究专家Dan Kaminsky在今年6月公布了cache-poisoning攻击的具体细节后,cache-poisoning攻击也开始为业界所认知。
举例来说,漏洞检测工具Metasploit新增了攻击定位模块。但具有讽刺意味的是,首批受到cache-poisoning攻击威胁的域名服务器之一就是Metasploit的作者之一,HD Moore。
时下解决cache-poisoning攻击的方法是将DNS服务器配置为随机端口查询。随机向不同的源端口发送查询反馈,对于攻击者而言就很难猜测出定位数据的发送端口,从而尽可能的让域名服务器免受黑客的攻击。
不过Liu警告说这只是片面的解决方案“随机选择端口能减少问题的发生,但无法从根本上杜绝攻击的可能性。这只是密码校验的权宜之计,而密码校验也正是域名系统安全协议需要完成的工作”。
“尽管由于涉及太多基础架构,关键管理,地域标识,公匙标识等问题,域名系统安全协议的执行过程可谓旷日持久。我们认为今年已经看到了域名系统安全协议的进步,但是我们发现在100万份样本中仅有45份安全系统安全协议记录,而去年是44份”。
Liu表示从积极的方面来看,通过调研他们发现了一些好消息。举例来说,用于防御电子邮件诈骗的发件人协议框架支持从去年的12.6%的占有率上升到16.7%。
另外,连接到互联网上的不安全的微软域名服务器系统的数量已经从总比例的2.7%下降为0.17%。Liu强调说这些系统仍然可以在企业内部使用,但是重要的是人们正在避免将这些服务器连到互联网上。
放眼未来,Liu表示仅有那些对开放递归查询域名服务器有特别需求的企业和那些具备防止泛滥式攻击技术能力的组织应该运行这种类型的域名服务器。
“我很高兴看到开放递归查询的域名服务器比例所下降,因为即使这种类型的域名服务器打了补丁,他们受到拒绝服务攻击的可能性也比非递归查询域名服务器要大。我们不能放弃递归服务器,但是我们不能允许任何人都可以无所忌惮的使用它”。