Ankieta: jeden serwer DNS na 10 jest "bardzo podatny na ataki"

Ponad 10 procent serwerów DNS (Domain Name System) w Internecie wciąż jest podatnych na ataki typu cache -tisoning, zgodnie z ogólnoświatowym przeglądem publicznych serwerów nazw internetowych.

minęło kilka miesięcy od ujawnienia luk i udostępniono poprawki, powiedział ekspert DNS Cricket Liu, którego firma, Infoblox, zleciła roczną ankietę.

"Szacujemy, że istnieje 11,9 miliona serwerów nazw, a ponad 40 procent zezwala na otwartą rekursję, więc akceptują zapytania od nikogo, z których jedna czwarta nie jest łatana, więc jest 1,3 miliona serwerów nazw, które są trywialnie podatne na ataki ", powiedział Liu, który jest wiceprezesem architektury Infoblox.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twojego wiatru Komputer PC]

Inne serwery DNS mogą również pozwalać na rekursję, ale nie są dostępne dla wszystkich, więc nie zostały odebrane przez ankietę, powiedział.

Liu powiedział, że luka w otumanieniu pamięci podręcznej, która jest często nazywana po Dan Kaminsky, badacz bezpieczeństwa, który opublikował szczegóły tego w lipcu, jest prawdziwy: "Kaminsky został wykorzystany w ciągu kilku dni od upublicznienia" - powiedział.

Moduły atakujące lukę zostały dodane do narzędzia testowania hackowania i penetracji Metasploit, na przykład. Jak na ironię, jednym z pierwszych serwerów DNS zagrożonych atakiem polegającym na zatruwaniu pamięci podręcznej był taki autor Metasploit, HD Moore.

Na razie antidotum na wada zatrucia pamięci podręcznej jest losowanie portu. Wysyłając zapytania DNS z różnych portów źródłowych, utrudnia to osobie atakującej odgadnięcie, do którego portu wysłać zatrute dane.

Jednak jest to tylko częściowa poprawka, ostrzegał Liu. "Randomizacja portu łagodzi problem, ale nie czyni ataku niemożliwym" - powiedział. "Naprawdę jest to tylko zwykły krok w drodze do sprawdzania kryptograficznego, czyli tego, co robią rozszerzenia bezpieczeństwa DNSSEC.

" DNSSEC zajmie dużo więcej czasu, aby wdrożyć, ponieważ wiąże się to z dużą ilością infrastruktury - kluczem zarządzanie, podpisywanie stref, podpisywanie kluczy publicznych i tak dalej. Wydaje nam się, że w tym roku zauważymy znaczny wzrost popularności DNSSEC, ale widzieliśmy tylko 45 rekordów DNSSEC z miliona próbek. W zeszłym roku widzieliśmy 44. "

Liu powiedział, że z pozytywnej strony, ankieta zwróciła kilka dobrych wiadomości, na przykład wsparcie dla SPF - struktura polityki nadawcy, która zwalcza podszywanie się pod e-mail - ma wzrósł w ciągu ostatnich 12 miesięcy z 12,6 procent stref próbnych do 16,7 procent.

Ponadto liczba niezabezpieczonych systemów Microsoft DNS Server podłączonych do Internetu spadła z 2,7 procent z całkowitej liczby do 0,17 procent. systemy te mogą nadal być wykorzystywane w organizacjach, ale powiedziały, że ważne jest to, że "ludzie rezygnują z łączenia ich z Internetem."

Patrząc w przyszłość, Liu powiedział, że tylko organizacje o specyficznej potrzebie otwartego rekurencyjnego DNS serwery - i techniczna zdolność powstrzymania ich przed zalaniem - powinny je uruchomić.

"Chciałbym zobaczyć, jak procent otwartych serwerów rekursywnych spada, ponieważ nawet jeśli są one załatane, tworzą świetne wzmacniacze do odmowy - ataki na usługi - powiedział. - Nie możemy pozbądź się serwerów rekurencyjnych, ale nie musisz nikomu pozwalać na ich używanie. "