向任何安全专家询问最普遍利用的服务和变化，他们提到最多的几乎是域名服务（DNS）。

　　这个看似简单的服务，负责在人类友好域名（比如，searchsecurity.techtarget.com）与机器友好因特网协议（IP）地址之间进行翻译(e.g. 65.214.43.37)，自从域名服务在因特网的基础结构中扮演重要角色以来，对于那些试图破坏网络的攻击者而言，它一直以来都是一个极具吸引力的袭击目标。如果DNS受到威胁，他们就可以随意改变因特网信息流的方向：这是恶意软件攻击和网络钓鱼攻击传播者最强有力的攻击方式。

　　2008年的Black Hat大会上，安全研究员Dan Kaminsky揭示了DNS中“新”漏洞的详细信息（或者，更为精确地说，是两种旧式漏洞以一种有效的漏洞形式进行了新结合）。

　　Dan负责接下的公布程序，这是毫无意义的；在Black Hat发布之前的几个月，他将其研究发现告知了主要的DNS软件经销商。然而，正如经常发生的主要漏洞一样，一些关于DNS漏洞的细节在Black Hat发布之前已经泄露了，导致了旋风式的猜测和恐慌。这是由于在黑帽开发利用代码之前，白帽已经一窝蜂似的修补他们的服务器了。就像我在本文中提到的，外界已经有了DNS利用代码。

　　Kaminsky解释DNS攻击

　　那么，Dan的攻击是怎么起作用的呢？它是基于DNS中的两个众所周知的漏洞：交易ID猜测和转介记录。当服务器提出DNS请求时，它使用一个独特的交易ID，来确定请求。这个特殊的交易ID使得服务器可以验证响应，并且确保它们来自正确的搜索请求。

　　问题在于交易ID范围是限制在65,535种可能性以内，这就使得猜测攻击变得可能。如果攻击者知道正在发出DNS请求，他可以尝试用随机交易ID建立一个针对请求的响应。这种情况下，获取正确交易ID的几率是1/65,535。

　　第二个问题涉及到DNS服务器的性能，以在响应数据包中获取比单一DNS入口更多的信息。比如，由于这个主域不仅仅有evilmalware.com的IP地址，而且也包括一些额外的信息，因此只要攻击者在所谓的evilmalware.com站点上拥有DNS服务器，他们就可以对请求做出响应：“顺便提一下，SearchSecurity.com的地址是1.2.3.4”（1.2.3.4位于一个黑客控制之下的站点中，并且，这个站点决不是真正的SearchSecurity.com）。有了“范围”的概念，这在很久以前就已经解决了。基本上，现在DNS客户知道仅仅接受对他们所询问问题的答复响应，并且抛弃任何请求地址包装的不相干信息。

　　所有这些漏洞本身并不是一个大问题：多少年以来，它们都已经记录在案。1:65,535的几率并不吸引黑客，除此以外，DNS所有现有的版本都支持范围保护。Kaminsky攻击中引人注意的妙诀就是他结合两种漏洞的方式。首先，他指出不会限制你可以猜测的不正确交易ID的数量，因此，这基本上就是黑客和合法服务器之间的一场竞赛。如果在合法服务器回应（Kaminsky宣布有可能实现的一个技术）之前，攻击者可以发送100个错误的响应，那么，1:65,535的比率就可以提高到一个更有利的水平：1:655。

　　这个时候，你可能会问自己：最重要的是什么？如果一个恶意黑客赢了这场竞赛，那么他或她只能够威胁到特定查询的DNS。这也就是Kaminsky攻击的真正威胁发挥作用的地方。他的第二个显著贡献就是指出了这一点，尽管范围请求大部分的DNS响应数据，但是它们并不申请转介到其它DNS服务器上。因此，攻击者可以采用响应说明，有效地回应evilmalware.com查询。“虽然我不知道，但是你可以在searchsecurity.techtarget.com上找到它，该网站的地址是1.2.3.4.。”在实现这一点的过程中，有可能为信息流导向，将其带入攻击者选择的任意地址。

　　修补DNS漏洞

　　幸运的是，Kaminsky也讲述了一个响应，并且在过去几个月中，一直孜孜不倦地在DNS服务器经销商中传播这一消息。答案是随机选择使用源端口。这可以消除现有DNS源端口的可预见性质，并且用随机选择技术替代该性质。现在，攻击者不仅仅需要猜测正确的交易ID，也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率：1:163,840,000，使该攻击变得无效。

　　安全管理员在阅读本文的时候，应该立即确定覆盖其企业的DNS服务器是否容易受到攻击，此外，如果是的话，应该立即进行修复。到今天为止，通过正常的资助渠道都可以获得所有主流操作系统的补丁。为了测试服务器中的漏洞，Kaminsky提供了一种极好的DNS检验工具，可以发送大量的查询到其自己的DNS服务器，然后对查询进行分析，以备可预测源端口使用。

　　保护远程连接，防止DNS漏洞

　　如果组织已经修补了其自己的DNS服务器，那么还是有很多工作要做。当用户在企业基础结构的易使用范围内进行操作，用户是受到保护的，但是，重要的是记住这并不是用户访问因特网的唯一地方。它们利用不同的商业ISP、酒店、饭店、飞机场和其它Wi-Fi热点提供的因特网访问（和DNS服务），在主页工作，并且进行传播。

　　这就说明，到目前为止，DNS漏洞已经成为安全意识和即时修补的一个案例研究。在Dan的谈话中，他指出，据统计，世界上80%以上的DNS服务器都已经经过修补了，包括许多主要供应商使用的服务器。

　　这就意味着当用户不在办公室时，必须采取步骤保护企业用户。虽然这可能吸引他们使用DNS检查工具，但这并不是一个真正切实可行的解决方案。由于这既需要记住运行这个检查工具，也需要具备解释结果的技术能力。

　　更好的策略是确保员工使用VPN连接返回到企业基础设施。确保这个配置不使用分离的信道，并且这个VPN可以推动DNS配置。这可以确保远程用户可以使用他们的企业DNS服务器，而不是依赖访问站点提供的那些服务器。至于真正的多疑用户，要用硬编码IP地址，配置VPN客户机，消除客户机对本地网络DNS服务器的依赖，进而找到通往主机的路径。

　　整体而言，Kaminsky概述了一种的极其严重的因特网安全威胁。我们共享的基础设施取决于DNS的合理运行，以及妥善解决域名的互信。如果你还没有检查服务器的修补情况，那么立即进行检查。如果修补了剩余20%的服务器，我们就可以处于安全状态，远离DNS攻击——至少在Kaminsky的下一期Black Hat公告之前是安全的。