本文來(lái)自微信公眾號(hào)“中科三方”。
近日,一個(gè)未修復(fù)的關(guān)鍵安全漏洞被披露,通過(guò)利用該漏洞可對(duì)物聯(lián)網(wǎng)類產(chǎn)品造成巨大的安全威脅。該漏洞最早于2021年9月被報(bào)告,影響了用于開(kāi)發(fā)嵌入式Linux系統(tǒng)的兩個(gè)流行的C庫(kù)——uClibc和uClibc-ng的域名DNS系統(tǒng)的正常使用,這可能會(huì)使數(shù)百萬(wàn)物聯(lián)網(wǎng)設(shè)備面臨巨大的安全威脅。
網(wǎng)絡(luò)安全研究人員表示,該漏洞可能允許攻擊者對(duì)目標(biāo)設(shè)備實(shí)施DNS投毒攻擊。成功利用該漏洞可進(jìn)行中間人(MitM)攻擊并破壞DNS緩存,從而將互聯(lián)網(wǎng)流量重定向到他們控制的惡意服務(wù)器上。如果將操作系統(tǒng)配置為使用固定或可預(yù)測(cè)的源端口,則可以輕松利用該漏洞,竊取和操縱用戶傳輸?shù)男畔?,并?duì)這些設(shè)備進(jìn)行其他攻擊。
什么是DNS投毒?
DNS緩存投毒又稱DNS欺騙,是一種通過(guò)查找并利用DNS系統(tǒng)中存在的漏洞,將流量從合法服務(wù)器引導(dǎo)至虛假服務(wù)器上的攻擊方式。與一般的釣魚(yú)攻擊采用非法URL不同的是,這種攻擊使用的是合法URL地址。
DNS投毒的工作機(jī)制
在實(shí)際的DNS解析過(guò)程中,用戶請(qǐng)求某個(gè)網(wǎng)站,瀏覽器首先會(huì)查找本機(jī)中的DNS緩存,如果DNS緩存中記錄了該網(wǎng)站和IP的映射關(guān)系,就會(huì)直接將結(jié)果返回給用戶,用戶對(duì)所得的IP地址發(fā)起訪問(wèn)。如果緩存中沒(méi)有相關(guān)記錄,才會(huì)委托遞歸服務(wù)器發(fā)起遞歸查詢。
這種查詢機(jī)制,縮短了全球查詢的時(shí)間,可以讓用戶獲得更快的訪問(wèn)體驗(yàn),但也存在一定的安全風(fēng)險(xiǎn)。如果攻擊者通過(guò)控制用戶的主機(jī)或者使用惡意軟件攻擊用戶的DNS緩存,就可以對(duì)DNS緩存中的域名映射關(guān)系進(jìn)行篡改,將域名解析結(jié)果指向一個(gè)虛假I(mǎi)P。
在這種情況下,用戶再次對(duì)該網(wǎng)站發(fā)起請(qǐng)求時(shí),通過(guò)DNS系統(tǒng)的解析會(huì)直接將虛假的映射關(guān)系返給用戶,將用戶引導(dǎo)至虛假站點(diǎn)之上,從而造成信息泄露,財(cái)產(chǎn)安全受到影響。
如何應(yīng)對(duì)DNS投毒
(1)DNS服務(wù)器中Bind等軟件采用源端口隨機(jī)性較好的較高版本。源端口的隨機(jī)性可以有效降低攻擊成功的概率,增加攻擊難度。
(2)增加權(quán)威域名服務(wù)器的數(shù)量。據(jù)調(diào)查,國(guó)際和國(guó)內(nèi)在權(quán)威域名服務(wù)器部署的數(shù)量方面近幾年均有所提升,但應(yīng)進(jìn)一步加強(qiáng)。
(3)在現(xiàn)有DNS協(xié)議框架基礎(chǔ)上,引入一些技巧性方法,增強(qiáng)DNS安全性。如在對(duì)DNS應(yīng)答數(shù)據(jù)包的認(rèn)證方面,除原查詢包發(fā)送IP地址、端口和隨機(jī)查詢ID外,再增加其他可認(rèn)證字段,增強(qiáng)認(rèn)證機(jī)制。
(4)改進(jìn)現(xiàn)有DNS協(xié)議框架,例如在DNS服務(wù)器上配置DNSSEC安全的機(jī)制,提升對(duì)應(yīng)答數(shù)據(jù)包的弱認(rèn)證方式以提高DNS安全性,或引入IPv6協(xié)議機(jī)制。
(5)采用DNS智能云解析技術(shù)。中科三方云解析系統(tǒng)配備10萬(wàn)+加速節(jié)點(diǎn)覆蓋全國(guó)所有省份和運(yùn)營(yíng)商,主動(dòng)向全國(guó)公共DNS推送域名記錄,支持最低1秒的TTL值,可大幅提升域名解析的準(zhǔn)確性和穩(wěn)定性,降低公共DNS的遞歸時(shí)間,提升網(wǎng)站的解析速度,有效避免DNS劫持、DNS投毒造成的損失。
……
DNS在互聯(lián)網(wǎng)上應(yīng)用廣泛,其安全性關(guān)系整個(gè)Internet的穩(wěn)定。DNS緩存投毒作為一種常見(jiàn)的DNS攻擊手段,具備危害性大、隱蔽性強(qiáng)等特點(diǎn),如果與其他攻擊技術(shù)結(jié)合,其對(duì)于網(wǎng)絡(luò)安全的破壞性更強(qiáng)。因此,如何提升DNS安全防御能力,有效應(yīng)對(duì)DNS劫持、DNS投毒等攻擊手段,應(yīng)成為廣大政企網(wǎng)站關(guān)注的重點(diǎn)。