主流域名解析庫曝重大DNS投毒漏洞，如何有效應(yīng)對DNS投毒？

時間：2023-01-30 18:48:01 | 來源：建站知識

時間：2023-01-30 18:48:01 來源：建站知識

近日，一個未修復(fù)的關(guān)鍵安全漏洞被披露，通過利用該漏洞可對物聯(lián)網(wǎng)類產(chǎn)品造成巨大的安全威脅。該漏洞最早于2021年9月被報告，影響了用于開發(fā)嵌入式Linux系統(tǒng)的兩個流行的C庫——uClibc和uClibc-ng的域名DNS系統(tǒng)的正常使用，這可能會使數(shù)百萬物聯(lián)網(wǎng)設(shè)備面臨巨大的安全威脅。

網(wǎng)絡(luò)安全研究人員表示，該漏洞可能允許攻擊者對目標設(shè)備實施DNS投毒攻擊。成功利用該漏洞可進行中間人 ( MitM ) 攻擊并破壞DNS緩存，從而將互聯(lián)網(wǎng)流量重定向到他們控制的惡意服務(wù)器上。如果將操作系統(tǒng)配置為使用固定或可預(yù)測的源端口，則可以輕松利用該漏洞，竊取和操縱用戶傳輸?shù)男畔?，并對這些設(shè)備進行其他攻擊。

什么是DNS投毒？

DNS緩存投毒又稱DNS欺騙，是一種通過查找并利用DNS系統(tǒng)中存在的漏洞，將流量從合法服務(wù)器引導(dǎo)至虛假服務(wù)器上的攻擊方式。與一般的釣魚攻擊采用非法URL不同的是，這種攻擊使用的是合法URL地址。

DNS投毒的工作機制

在實際的DNS解析過程中，用戶請求某個網(wǎng)站，瀏覽器首先會查找本機中的DNS緩存，如果DNS緩存中記錄了該網(wǎng)站和IP的映射關(guān)系，就會直接將結(jié)果返回給用戶，用戶對所得的IP地址發(fā)起訪問。如果緩存中沒有相關(guān)記錄，才會委托遞歸服務(wù)器發(fā)起遞歸查詢。

這種查詢機制，縮短了全球查詢的時間，可以讓用戶獲得更快的訪問體驗，但也存在一定的安全風(fēng)險。如果攻擊者通過控制用戶的主機或者使用惡意軟件攻擊用戶的DNS緩存，就可以對DNS緩存中的域名映射關(guān)系進行篡改，將域名解析結(jié)果指向一個虛假IP。

在這種情況下，用戶再次對該網(wǎng)站發(fā)起請求時，通過DNS系統(tǒng)的解析會直接將虛假的映射關(guān)系返給用戶，將用戶引導(dǎo)至虛假站點之上，從而造成信息泄露，財產(chǎn)安全受到影響。

如何應(yīng)對DNS投毒？

（1）DNS服務(wù)器中Bind等軟件采用源端口隨機性較好的較高版本。源端口的隨機性可以有效降低攻擊成功的概率，增加攻擊難度。

（2）增加權(quán)威域名服務(wù)器的數(shù)量。據(jù)調(diào)查，國際和國內(nèi)在權(quán)威域名服務(wù)器部署的數(shù)量方面近幾年均有所提升，但應(yīng)進一步加強。

（3）在現(xiàn)有DNS協(xié)議框架基礎(chǔ)上，引入一些技巧性方法，增強DNS安全性。如在對DNS應(yīng)答數(shù)據(jù)包的認證方面，除原查詢包發(fā)送IP地址、端口和隨機查詢ID外，再增加其他可認證字段，增強認證機制。

（4）改進現(xiàn)有DNS協(xié)議框架，例如在DNS服務(wù)器上配置DNSSEC安全的機制，提升對應(yīng)答數(shù)據(jù)包的弱認證方式以提高DNS安全性，或引入IPv6協(xié)議機制。

（5）采用DNS智能云解析技術(shù)。中科三方云解析系統(tǒng)配備10萬+加速節(jié)點覆蓋全國所有省份和運營商，主動向全國公共DNS推送域名記錄，支持最低1秒的TTL值，可大幅提升域名解析的準確性和穩(wěn)定性，降低公共DNS的遞歸時間，提升網(wǎng)站的解析速度，有效避免DNS劫持、DNS投毒造成的損失。

DNS在互聯(lián)網(wǎng)上應(yīng)用廣泛，其安全性關(guān)系整個Internet的穩(wěn)定。DNS緩存投毒作為一種常見的DNS攻擊手段，具備危害性大、隱蔽性強等特點，如果與其他攻擊技術(shù)結(jié)合，其對于網(wǎng)絡(luò)安全的破壞性更強。因此，如何提升DNS安全防御能力，有效應(yīng)對DNS劫持、DNS投毒等攻擊手段，應(yīng)成為廣大政企網(wǎng)站關(guān)注的重點。

云解析