主流域名解析庫曝重大DNS投毒漏洞,如何有效應對DNS投毒?

youbingke發表於2022-06-06

近日,一個未修復的關鍵安全漏洞被披露,透過利用該漏洞可對物聯網類產品造成巨大的安全威脅。該漏洞最早於2021年9月被報告,影響了用於開發嵌入式Linux系統的兩個流行的C庫——uClibc和uClibc-ng的域名DNS系統的正常使用,這可能會使數百萬物聯網裝置面臨巨大的安全威脅。

網路安全研究人員表示,該漏洞可能允許攻擊者對目標裝置實施DNS投毒攻擊。成功利用該漏洞可進行中間人 ( MitM ) 攻擊並破壞DNS快取,從而將網際網路流量重定向到他們控制的惡意伺服器上。如果將作業系統配置為使用固定或可預測的源埠,則可以輕鬆利用該漏洞,竊取和操縱使用者傳輸的資訊,並對這些裝置進行其他攻擊。

什麼是DNS投毒?

DNS快取投毒又稱DNS欺騙,是一種透過查詢並利用DNS系統中存在的漏洞,將流量從合法伺服器引導至虛假伺服器上的攻擊方式。與一般的釣魚攻擊採用非法URL不同的是,這種攻擊使用的是合法URL地址。

DNS投毒的工作機制

在實際的DNS解析過程中,使用者請求某個網站,瀏覽器首先會查詢本機中的DNS快取,如果DNS快取中記錄了該網站和IP的對映關係,就會直接將結果返回給使用者,使用者對所得的IP地址發起訪問。如果快取中沒有相關記錄,才會委託遞迴伺服器發起遞迴查詢。

這種查詢機制,縮短了全球查詢的時間,可以讓使用者獲得更快的訪問體驗,但也存在一定的安全風險。如果攻擊者透過控制使用者的主機或者使用惡意軟體攻擊使用者的DNS快取,就可以對DNS快取中的域名對映關係進行篡改,將域名解析結果指向一個虛假IP。

在這種情況下,使用者再次對該網站發起請求時,透過DNS系統的解析會直接將虛假的對映關係返給使用者,將使用者引導至虛假站點之上,從而造成資訊洩露,財產安全受到影響。

如何應對DNS投毒?

(1)DNS伺服器中Bind等軟體採用源埠隨機性較好的較高版本。源埠的隨機性可以有效降低攻擊成功的機率,增加攻擊難度。

(2)增加權威域名伺服器的數量。據調查,國際和國內在權威域名伺服器部署的數量方面近幾年均有所提升,但應進一步加強。

(3)在現有DNS協議框架基礎上,引入一些技巧性方法,增強DNS安全性。如在對DNS應答資料包的認證方面,除原查詢包傳送IP地址、埠和隨機查詢ID外,再增加其他可認證欄位,增強認證機制。

(4)改進現有DNS協議框架,例如在DNS伺服器上配置DNSSEC安全的機制,提升對應答資料包的弱認證方式以提高DNS安全性,或引入IPv6協議機制。

(5)採用DNS智慧雲解析技術。中科三方雲解析系統配備10萬+加速節點覆蓋全國所有省份和運營商,主動向全國公共DNS推送域名記錄,支援最低1秒的TTL值,可大幅提升域名解析的準確性和穩定性,降低公共DNS的遞迴時間,提升網站的解析速度,有效避免DNS劫持、DNS投毒造成的損失。

DNS在網際網路上應用廣泛,其安全性關係整個Internet的穩定。DNS快取投毒作為一種常見的DNS攻擊手段,具備危害性大、隱蔽性強等特點,如果與其他攻擊技術結合,其對於網路安全的破壞性更強。因此,如何提升DNS安全防禦能力,有效應對DNS劫持、DNS投毒等攻擊手段,應成為廣大政企網站關注的重點。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2898954/,如需轉載,請註明出處,否則將追究法律責任。

相關文章