|
三月和四月频发的一系列域欺骗给整个互联网敲响了警钟。SANS Institute的分析家Johannes Ullrich称第一个受害的是Symantec防火墙/DNS服务器,感染的DNS服务器给合法的请求附上了额外的IP地址,或我们有时所称的“粘贴记录”。
“DNS服务器通常都会发送回另外的信息,” Ullrich解释道:“尤其是当请求对一个非常知名的网站如Google做出时。大约会有十几个带有不同IP地址的Google合法服务器,因此服务器会返回一些交替的地址。就是在这种情况下服务器对Symantec整个.com返回了伪造的地址。”
恶意的粘贴记录一般驻留在DNS服务器的缓冲内存中,侵入缓冲区并留下恶意的记录被称为DNS“缓冲中毒”。Ullrich和Symantec的代表都称Symantec迅速地解决了这个问题。“我们在三月份发布了一个补丁来阻止对DNS服务器附加粘贴记录。” Symantec安全事务高级经理Oliver Friedrichs说道。
微软在四月也受到了类似的攻击。微软一台内部DNS服务器将它不能解析的请求转发到一个防火墙外的被攻击的DNS 服务器。这种转发的方式是很典型的, SANS Institute的Ullrich说。“如果ISP运行较旧版本的BIND(Version 9之前的版本),它也会返回恶意的IP地址。”他解释道。更旧版本的BIND软件不能过滤类似的伪造的.com IP 地址的粘贴记录。微软的DNS同样不能过滤。“微软仍坚称外部的DNS应该做到过滤。” Ullrich说道。
弱点管理公司Qualys的首席技术官Gerhard Eschelbeck 说微软的DNS服务器应承担责任。而发明DNS的Paul Mockapetris也这样认为。Mockapetris说:“微软DNS的一些默认配置为DNS中毒大开方便之门。” 但微软拒绝对他们DNS服务器中存在的弱点发表评论。
或许最臭名昭著的域欺骗攻击就是发生在一月份的那次,纽约网络服务提供商的域名Panix将用户发送到一个澳大利亚的网站。但是如此频发的域欺骗很可能误导人们,因为更简单的桌面域欺骗极有可能藏在这些恶意的域欺骗背后。
|
