天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

大多企业仍然容易收到DNS缓存中毒攻击

2010-12-28IT168佚名
p>  到目前为止,只有不到0.02%的互联网采用了DNSSEC协议,DNSSEC协议在顶级域名方面取得了进展,但一项新研究显示,整体DNSSEC协议部署只占互联网的一小部分,让大部分企业都容易受到DNS缓存中毒攻击。

  根据Infoblox和测试服务公司收集的数据显示,不到0.02%的DNS区域启用了DNSSEC,而有96%因为DNSSEC签名过期而没有通过验证。

  DNS缓存中毒攻击威胁在一年前由知名研究人员Dan Kaminsky发现,而DNSSEC协议被认为是抵御DNS缓存中毒攻击的最佳防御。尽管Infoblox调查发现DNSSEC协议部署今年攀升了340%,但仍然有很长的路要走。

  Infoblox公司架构副总裁同时也是DNS专家Cricket Liu表示,这次调查还首次研究了现有的DNSSEC 协议部署是否上升以及运行情况,“关于DNSSEC协议部署的奇怪的现象就是,我们看到数据持续上升,但都是从极小的数字到更小的比率,”Liu表示, “这是我们第一次检查在这些DNSSEC协议区域验证数据的能力,而几乎有四分之一没有通过验证,因为签名过期,这很令人失望。”

  他表示,这些企业可能一直在将DNSSEC作为实验,“这也就是说,加上一些工具,会让DNSSEC协议变得很难运行,”他说道,“四分之一的区域过期说明,DNSSEC协议的重新签名并不是自动的,大家设置好DNSSEC协议来进行实验,然后就不闻不问了。”

  与此同时,Kaminsky一直致力于让DNSSEC协议部署更加简单,他近日发布了一个免费的工具包,Phreebird Suite1.0,该工具包可以让企业尝试使用DNSSEC协议,同时也向他们证明这个协议并不难部署。Phreebird Suite 1.0是一个位于DNS服务器前面的实时DNSSEC代理服务器,并且对其响应进行数字签名。

  Infoblox调查还发现,在所有DNS域名服务器中,将近有75%的服务器位于单个授权区域,这样容易出现单点故障,“这是很糟糕的事情,”Liu表示。如果路由基础设施出现问题或者故障,那么将会失去互联网业务。

  一些网络目前仍然缺乏的是DNSSEC协议需要的基本网络配置。Liu表示:将近20%的域名不允许TCP查询,而26.4%不支持DNS协议的扩展机制。

  Infoblox建议企业为部署DNSSEC协议做好准备,升级到最新版本的BIND,使用端口随机化,隔离内部和外部域名服务器,并且隔离授权DNS域名服务器和递归DNS域名服务器。

本文来源:IT168 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行