如何修补Kaminsky提出的DNS漏洞

日期: 2008-08-31 作者:Mike Chapple翻译:李娜娜 来源:TechTarget中国 英文

向任何安全专家询问最普遍利用的服务和变化,他们提到最多的几乎是域名服务(DNS)。   这个看似简单的服务,负责在人类友好域名(比如,searchsecurity.techtarget.com)与机器友好因特网协议(IP)地址之间进行翻译(e.g. 65.214.43.37),自从域名服务在因特网的基础结构中扮演重要角色以来,对于那些试图破坏网络的攻击者而言,它一直以来都是一个极具吸引力的袭击目标。如果DNS受到威胁,他们就可以随意改变因特网信息流的方向:这是恶意软件攻击和网络钓鱼攻击传播者最强有力的攻击方式。   2008年的Black Hat大会上,安全研究员Dan Kaminsky揭示了……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

向任何安全专家询问最普遍利用的服务和变化,他们提到最多的几乎是域名服务(DNS)。

  这个看似简单的服务,负责在人类友好域名(比如,searchsecurity.techtarget.com)与机器友好因特网协议(IP)地址之间进行翻译(e.g. 65.214.43.37),自从域名服务在因特网的基础结构中扮演重要角色以来,对于那些试图破坏网络的攻击者而言,它一直以来都是一个极具吸引力的袭击目标。如果DNS受到威胁,他们就可以随意改变因特网信息流的方向:这是恶意软件攻击和网络钓鱼攻击传播者最强有力的攻击方式。

  2008年的Black Hat大会上,安全研究员Dan Kaminsky揭示了DNS中“新”漏洞的详细信息(或者,更为精确地说,是两种旧式漏洞以一种有效的漏洞形式进行了新结合)。

  Dan负责接下的公布程序,这是毫无意义的;在Black Hat发布之前的几个月,他将其研究发现告知了主要的DNS软件经销商。然而,正如经常发生的主要漏洞一样,一些关于DNS漏洞的细节在Black Hat发布之前已经泄露了,导致了旋风式的猜测和恐慌。这是由于在黑帽开发利用代码之前,白帽已经一窝蜂似的修补他们的服务器了。就像我在本文中提到的,外界已经有了DNS利用代码。

  Kaminsky解释DNS攻击

  那么,Dan的攻击是怎么起作用的呢?它是基于DNS中的两个众所周知的漏洞:交易ID猜测和转介记录。当服务器提出DNS请求时,它使用一个独特的交易ID,来确定请求。这个特殊的交易ID使得服务器可以验证响应,并且确保它们来自正确的搜索请求。

  问题在于交易ID范围是限制在65,535种可能性以内,这就使得猜测攻击变得可能。如果攻击者知道正在发出DNS请求,他可以尝试用随机交易ID建立一个针对请求的响应。这种情况下,获取正确交易ID的几率是1/65,535。

  第二个问题涉及到DNS服务器的性能,以在响应数据包中获取比单一DNS入口更多的信息。比如,由于这个主域不仅仅有evilmalware.com的IP地址,而且也包括一些额外的信息,因此只要攻击者在所谓的evilmalware.com站点上拥有DNS服务器,他们就可以对请求做出响应:“顺便提一下,SearchSecurity.com的地址是1.2.3.4”(1.2.3.4位于一个黑客控制之下的站点中,并且,这个站点决不是真正的SearchSecurity.com)。有了“范围”的概念,这在很久以前就已经解决了。基本上,现在DNS客户知道仅仅接受对他们所询问问题的答复响应,并且抛弃任何请求地址包装的不相干信息。

  所有这些漏洞本身并不是一个大问题:多少年以来,它们都已经记录在案。1:65,535的几率并不吸引黑客,除此以外,DNS所有现有的版本都支持范围保护。Kaminsky攻击中引人注意的妙诀就是他结合两种漏洞的方式。首先,他指出不会限制你可以猜测的不正确交易ID的数量,因此,这基本上就是黑客和合法服务器之间的一场竞赛。如果在合法服务器回应(Kaminsky宣布有可能实现的一个技术)之前,攻击者可以发送100个错误的响应,那么,1:65,535的比率就可以提高到一个更有利的水平:1:655。

  这个时候,你可能会问自己:最重要的是什么?如果一个恶意黑客赢了这场竞赛,那么他或她只能够威胁到特定查询的DNS。这也就是Kaminsky攻击的真正威胁发挥作用的地方。他的第二个显著贡献就是指出了这一点,尽管范围请求大部分的DNS响应数据,但是它们并不申请转介到其它DNS服务器上。因此,攻击者可以采用响应说明,有效地回应evilmalware.com查询。“虽然我不知道,但是你可以在searchsecurity.techtarget.com上找到它,该网站的地址是1.2.3.4.。”在实现这一点的过程中,有可能为信息流导向,将其带入攻击者选择的任意地址。

  修补DNS漏洞

  幸运的是,Kaminsky也讲述了一个响应,并且在过去几个月中,一直孜孜不倦地在DNS服务器经销商中传播这一消息。答案是随机选择使用源端口。这可以消除现有DNS源端口的可预见性质,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率:1:163,840,000,使该攻击变得无效。

  安全管理员在阅读本文的时候,应该立即确定覆盖其企业的DNS服务器是否容易受到攻击,此外,如果是的话,应该立即进行修复。到今天为止,通过正常的资助渠道都可以获得所有主流操作系统的补丁。为了测试服务器中的漏洞,Kaminsky提供了一种极好的DNS检验工具,可以发送大量的查询到其自己的DNS服务器,然后对查询进行分析,以备可预测源端口使用。

  保护远程连接,防止DNS漏洞

  如果组织已经修补了其自己的DNS服务器,那么还是有很多工作要做。当用户在企业基础结构的易使用范围内进行操作,用户是受到保护的,但是,重要的是记住这并不是用户访问因特网的唯一地方。它们利用不同的商业ISP、酒店、饭店、飞机场和其它Wi-Fi热点提供的因特网访问(和DNS服务),在主页工作,并且进行传播。

  这就说明,到目前为止,DNS漏洞已经成为安全意识和即时修补的一个案例研究。在Dan的谈话中,他指出,据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。

  这就意味着当用户不在办公室时,必须采取步骤保护企业用户。虽然这可能吸引他们使用DNS检查工具,但这并不是一个真正切实可行的解决方案。由于这既需要记住运行这个检查工具,也需要具备解释结果的技术能力。

  更好的策略是确保员工使用VPN连接返回到企业基础设施。确保这个配置不使用分离的信道,并且这个VPN可以推动DNS配置。这可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。至于真正的多疑用户,要用硬编码IP地址,配置VPN客户机,消除客户机对本地网络DNS服务器的依赖,进而找到通往主机的路径。

  整体而言,Kaminsky概述了一种的极其严重的因特网安全威胁。我们共享的基础设施取决于DNS的合理运行,以及妥善解决域名的互信。如果你还没有检查服务器的修补情况,那么立即进行检查。如果修补了剩余20%的服务器,我们就可以处于安全状态,远离DNS攻击——至少在Kaminsky的下一期Black Hat公告之前是安全的。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

相关推荐