引:超过半数的因特网域名解析服务器配置都不正确,使得网络容易受到域名转发欺骗;同时还能籍由这些服务器给DNS基础架构一记重击。
超过半数的因特网域名解析服务器配置都不正确,使得网络容易受到域名转发欺骗;同时还能籍由这些服务器给DNS基础架构一记重击。
这是一份周一发布的因特网域名服务器调查中最关键的一个发现。Measurement Factory 为售卖DNS应用软件的Infoblox公司完成了这份报告。
总体来看,2006年的DNS报告卡给DNS安全性的评级是D+。这是由Measurement Factory完成的第二份年度全球DNS状态报告了。
“我们见过了太多的因为DNS基础架构的错误配置,和因此而导致的频繁而猛烈的攻击与掉线率。”Infoblox的市场副总裁Rick Kagan说道。
这份报告最主要的发现就是,超过半数的因特网域名解析服务器允许递回域名服务。 它可以要求某个域名服务器接替发给其它其它域名服务器的请求。
Infoblox提到允许递回域名服务将会纵容缓存中毒攻击,这种情况下用户通常会被重定位到另外一个网站,用户的个人信息有可能会因此而泄漏。
“(DNS)服务器没有必要开放递回域名服务,”Kagan说道。“问题是,BIND 9(伯克莱因特网域名软件 9)默认就打开了这项服务。这是一个很糟糕的弱点。不过这很容易被修复,人们应该重视它。
调查中发现的另一个DNS服务器的配置错误是,29%的DNS服务器向任意请求者开放带传输。带传输把DNS数据从一个服务器上复制到另一个服务器上,使其可能受到“拒绝服务“攻击。
调查报告中还发现了:
•去年连接到因特网的DNS服务器数量上升了20%达到了9百万个。大多数的增加的服务器位于欧洲和亚洲,许多的DNS服务器植入在有线调制解调器和电话网关中。
•运行最新版本的开源软件——来自因特网软件协会的BIND9——的DNS服务器的数量比运行BIND 8的要多。大概从2005年的58%上升到了2006年的61%。
•每1000个DNS服务器中只有两个支持IPv6,这表示升级到因特网主要通讯协议的开展速度还是比较慢。
•事实上没有任何一个服务器使用了DNSSEC(域名系统安全协议),这项协议代表着被验证过的DNS数据。大约十万分之一的DNS服务器支持这个协议。
|
