|
其实对付DNS域欺骗攻击的终极解决方法很早之前就存在了。大多数的专家认为10年前由IETF打造的DNS安全协议DNSSEC (DNS Security)几乎可以让DNS避免感染。“DNSSE将DNS数据加密并标记。” Burton’s Golding说:“这样就使DNS服务器变成了一个值得信任的实体。”
但理论归理论。不幸的是,实践缺乏吸引力。“DNSSEC极其复杂。” Golding 解释说:“为了让DNSSEC工作,你需要在从根服务器到企业服务器所有的DNS服务器之间建立相互信任的关系。”
这就意味着要在一个相当广泛的范围内执行PKI,这几乎不大可能。“DNSSEC是一个大概念。” SANS Institute的Ullrich说道:“但是不是一个实际的解决方案。我曾经在小范围内尝试了这个方案,最后放弃了。太复杂了。”
这下IT界有事做了,这事可不是仅仅了解DNS这么简单。每个运行DNS服务器的用户需要升级到BIND Version 9并检查微软DNS服务器的配置,以确认一些默认模式还未暴露易受攻击之处。那些胆子够大的可能想把DNS带回家装在内部,但是至少企业IT需要知道他们的ISP在什么样的DNS结构下运行,还要知道当域欺骗攻击发生时如何令ISP承担责任。这些步骤在对DNS域欺骗的防御中还要走很长一段路。
针对互联网分布式结构和DNS的现状,要想阻止所有的域欺骗攻击几乎是不可能的。但是来自Burton公司的 Golding说也没必要惊慌。一个原因就是进行域欺骗攻击难度很大、费用昂贵。“我想,那些欲出售产品的安全产品生产商对域欺骗攻击也有点过分夸张了。”
而另一方面,对域欺骗不加重视也是错误的。“域欺骗攻击至今仍未削弱。”来自TraceSecurity的Stickley说道:“但是我认为原因很简单:如果你仔细看看,你几乎可以随时发现易受攻击的DNS服务器。
|
