首页 > 信息安全 > 正文

大多企业仍然容易收到DNS缓存中毒攻击

2011-01-04 20:10:40  来源:it168网站原创

摘要:到目前为止,只有不到0.02%的互联网采用了DNSSEC协议,DNSSEC协议在顶级域名方面取得了进展,但一项新研究显示,整体DNSSEC协议部署只占互联网的一小部分,让大部分企业都容易受到DNS缓存......
关键词: dnssec DNS

  到目前为止,只有不到0.02%的互联网采用了DNSSEC协议,DNSSEC协议在顶级域名方面取得了进展,但一项新研究显示,整体DNSSEC协议部署只占互联网的一小部分,让大部分企业都容易受到DNS缓存中毒攻击。

  根据Infoblox和测试服务公司收集的数据显示,不到0.02%的DNS区域启用了DNSSEC,而有96%因为DNSSEC签名过期而没有通过验证。

  DNS缓存中毒攻击威胁在一年前由知名研究人员Dan Kaminsky发现,而DNSSEC协议被认为是抵御DNS缓存中毒攻击的最佳防御。尽管Infoblox调查发现DNSSEC协议部署今年攀升了340%,但仍然有很长的路要走。

  Infoblox公司架构副总裁同时也是DNS专家Cricket Liu表示,这次调查还首次研究了现有的DNSSEC 协议部署是否上升以及运行情况,“关于DNSSEC协议部署的奇怪的现象就是,我们看到数据持续上升,但都是从极小的数字到更小的比率,”Liu表示,“这是我们第一次检查在这些DNSSEC协议区域验证数据的能力,而几乎有四分之一没有通过验证,因为签名过期,这很令人失望。”

  他表示,这些企业可能一直在将DNSSEC作为实验,“这也就是说,加上一些工具,会让DNSSEC协议变得很难运行,”他说道,“四分之一的区域过期说明,DNSSEC协议的重新签名并不是自动的,大家设置好DNSSEC协议来进行实验,然后就不闻不问了。”

  与此同时,Kaminsky一直致力于让DNSSEC协议部署更加简单,他近日发布了一个免费的工具包,Phreebird Suite1.0,该工具包可以让企业尝试使用DNSSEC协议,同时也向他们证明这个协议并不难部署。Phreebird Suite 1.0是一个位于DNS服务器前面的实时DNSSEC代理服务器,并且对其响应进行数字签名。

  Infoblox调查还发现,在所有DNS域名服务器中,将近有75%的服务器位于单个授权区域,这样容易出现单点故障,“这是很糟糕的事情,”Liu表示。如果路由基础设施出现问题或者故障,那么将会失去互联网业务。

  一些网络目前仍然缺乏的是DNSSEC协议需要的基本网络配置。Liu表示:将近20%的域名不允许TCP查询,而26.4%不支持DNS协议的扩展机制。

  Infoblox建议企业为部署DNSSEC协议做好准备,升级到最新版本的BIND,使用端口随机化,隔离内部和外部域名服务器,并且隔离授权DNS域名服务器和递归DNS域名服务器。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。