日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
Kaminsky漏洞一年后DNS仍然脆弱

【自7月27日外電頭條】一年前,安全研究員Dan Kaminsky披露DNS存在嚴重漏洞曾經轟動了整個IT世界,如今已經過去了一年,黑客們仍有可能利用這個bug發(fā)起緩存中毒攻擊,在無人察覺的情況下,將網絡流量從一個合法的網站重定向到虛假的網站。

Kaminsky漏洞揭示了DNS自身固有的弱點,它的發(fā)現(xiàn)為網絡供應商和ISP敲響了警鐘,人們開始關注DNS這個長久以來為IP地址匹配域名的互聯(lián)網基本標準,也極大的推動了DNS安全擴展協(xié)議(DNS Security Extensions,DNSSEC)的發(fā)展,DNSSEC作為附加安全機制曾經由于缺乏需求而長期不受到網絡管理員的重視。

Kaminsky的發(fā)現(xiàn)“不僅幫助人們提高了對DNS漏洞的認識,也讓人們更加重視普遍的互聯(lián)網安全,讓我們看到之前的協(xié)議在安全方面確實存在缺陷,”美國國家標準與技術協(xié)會計算機科學家與DNS安全專家Scott Rose說。

“從前DNS漏洞和有關DNSSEC部署的問題總是在社群中討論來討論去,但最終反而是從外部得到了最大的推動力,”這要感謝Kaminsky,Rose說。“他揭示了攻擊DNS會發(fā)生什么問題,不僅是瀏覽器的重定向,還包括轉換電子郵件。還有Kaminsky描述的所有其他攻擊都把DNS的問題推到了臺面上?!?

專家說,由于Kaminsky的發(fā)現(xiàn),在過去12個月里,為了加強DNS安全所做的工作已經超過了前十年的總和。然而,如今的DNS在面對緩存中毒攻擊時,仍然和往常一樣脆弱。 Kaminsky漏洞“是互聯(lián)網的大問題”,Secure64首席運營官Joe Gersch說,他的公司銷售DNS服務器軟件和遷移到DNSSEC的自動化工具。Gersch是去年夏天Kaminsky在黑帽大會作報告的現(xiàn)場聽眾之一,當時在Kaminsky詳述DNS緩存中毒威脅時,現(xiàn)場擠得水泄不通?!幷甙?,DNS緩存中毒攻擊防不勝防,其影響之大很受大家關注。

“Kaminsky花了20分鐘解釋它如何工作,在隨后的一個半小時里,他一個接一個的展示被感染的案例,”Gersch說?!八故玖薉NS一旦被感染,一切就都被黑客控制了。你甚至不知道襲擊是怎么發(fā)生的,災難就突然來臨了?!?Gersch說Kaminsky讓人們認識到DNS內在的不安全性。“這比任何宣傳都更有效,人們馬上就開始打補丁程序,然后進行……DNSSEC部署,”Gersch說。自那時起,大多數——盡管不是全部——網絡工程師都已經針對Kaminsky發(fā)現(xiàn)的漏洞修補了他們的DNS服務器。

然而補丁只是Kaminsky建議用來短期修補漏洞用的。阻止緩存中毒,對付Kaminsky式攻擊的長期辦法是DNSSEC,允許網站使用數字簽名和公共密鑰加密來驗證域名和相應的IP地址?,F(xiàn)在的問題是,DNSSEC要在互聯(lián)網達到充分部署才能發(fā)揮最佳作用,也就是說從DNS層次的最頂端包括頂級域名如.com和.net等,一直到最底端的個人域名都要部署上DNSSEC。而在此之前,網站仍然容易受到Kaminsky式攻擊。

Kaminsky漏洞“是部署DNSSEC的最主要催化劑”,NeuStar高級副總裁Rodney Joffe說。而什么時候才能達到充分部署呢?Joffe認為還需要一年或更長的時間。與此同時,ISP和網站運營商們卻看到了越來越多的緩存中毒攻擊,盡管其中很少被公開披露。7月17日愛爾蘭的ISP Eircom報告說它遭受了緩存中毒攻擊,導致兩個主要服務中斷,訪問Facebook等網站的客戶被重定向到虛假的網站。

今年4月,巴西銀行Bradesco也證實它的一些顧客被重定向到惡意網站,試圖竊取他們的密碼,原因是銀行的ISP Net Virtua遭受了緩存中毒攻擊。 “我們看到緩存中毒攻擊事件正變得越來越多,”Joffe說?!耙荒昵?,這還是一個理論上的威脅。而今天,它正在爆發(fā)?!本彺嬷卸竟舻奈kU實際上比一年前還要大得多,因為Kaminsky漏洞在黑客屆已經變的眾所周知。

而作為最終的解決辦法,DNSSEC部署在過去的一年也取得了重大進展。美國政府確認到2009年底將在其.gov域名完成DNSSEC部署,而且正在采取步驟以確保DNS根服務器也能在同一時間完成部署。.org域名已率先使用了DNSSEC,另外瑞典、巴西、波多黎各、保加利亞和捷克等國的頂級域名也已經開始提供支持。最重要的是VeriSign為.com和.net部署DNSSEC的計劃,它表示將在2011年完成。

“今年無疑將成為DNSSEC之年,”Joffe說?!盀榇宋覀円呀浥α耸辏@一年DNSSEC將迎來真正的飛躍?!?然而DNSSEC仍然存在一些技術故障,專家警告說當域名切換到新的安全協(xié)議時網站可能會無法使用,因為一些配置問題?!拔覀円呀浿赖淖畲蟮牟僮髡系K就是一些小型家庭路由器以及一些入侵檢測系統(tǒng)和防火墻的默認配置和DNSSEC配合不好,”Rose說,“用戶必須重新配置這些系統(tǒng)來處理DNSSEC密鑰和簽名。”——編者按:DNS 客戶端并不在自身實施DNS 授權,而是等待服務器返回授權結果。

【.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為.com,且不得修改原文內容?!?

原文:DNS remains vulnerable one year after Kaminsky bug 作者:Carolyn Duffy Marsan

成都網站建設公司-創(chuàng)新互聯(lián),建站經驗豐富10多年以來專注數字化網站開發(fā)營銷,提供企業(yè)網站建設,高端網站設計,響應式網站制作,設計師量身打造品牌風格,熱線:028-86922220
網頁名稱:Kaminsky漏洞一年后DNS仍然脆弱
轉載來于:http://www.dlmjj.cn/article/cdgjcpo.html