开放递归式DNS服务器本身就不安全吗?

日期: 2010-01-20 作者:Michael Cobb翻译:Sean 来源:TechTarget中国 英文

问:开放递归式DNS服务器本身就不安全吗?它们的漏洞比封闭递归式服务器是更加危险、还是更安全一点?   答:“认为开放递归式DNS域名服务器天生就不安全”这一看法可能并不正确,因为实际上递归的出发点是未来让因特网运行得更好。递归通过一个分布层次结构来执行查找数千万的域名的艰巨任务,从而不再需要一个庞大的目录或者多个不可思议的巨大目录。递归让查找速度更快,因为有许多请求可以通过本地或者相关的本地DNS表来响应。   然而令人遗憾的是,恶意用户滥用了这项服务,使之成为众多威胁的一部分。

有几种拒绝服务攻击就是利用了DNS的递归来扩大它们的攻击效果,有时还与其他有用的因特网功能(比如RFC 2671,……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:开放递归式DNS服务器本身就不安全吗?它们的漏洞比封闭递归式服务器是更加危险、还是更安全一点?

  答:“认为开放递归式DNS域名服务器天生就不安全”这一看法可能并不正确,因为实际上递归的出发点是未来让因特网运行得更好。递归通过一个分布层次结构来执行查找数千万的域名的艰巨任务,从而不再需要一个庞大的目录或者多个不可思议的巨大目录。递归让查找速度更快,因为有许多请求可以通过本地或者相关的本地DNS表来响应。

  然而令人遗憾的是,恶意用户滥用了这项服务,使之成为众多威胁的一部分。有几种拒绝服务攻击就是利用了DNS的递归来扩大它们的攻击效果,有时还与其他有用的因特网功能(比如RFC 2671, DNS扩展机制—EDNS)滥用结合在一起。这些有用的扩展功能需要域名服务器对请求返回更多的响应,这会让攻击带来更多的UDP响应量。

  然而,就像开放转发(Open Relay)一样,一开始是个好主意,但是当它们被垃圾邮件发件人滥用之后就开始变得麻烦起来,开放递归式DNS服务器现在也面临着这样的问题。US-CERT现在建议“只要可能,企业就应该保护他们DNS服务器的安全,确保它们不允许使用递归,或者至少只访问可信的域并禁止发送额外的委派信息”。该US-CERT文件提供了详细的DNS安全配置指南。

  换句话说,要关闭递归功能或者关闭递归函数(很多DNS服务器软件上默认是开启的)。跟非递归式服务器或者封闭递归式DNS服务器相比,开放递归式DNS服务器把一个企业——往大了说是整个因特网——置于一个更加危险的境地。大型托管公司(比如GoDaddy.com网络公司)也有同样的感觉。它的官方网站就警告那些运行专用服务器的厂家说:“我们不允许在专门的或者虚拟的专用服务器上运行递归DNS,除非它只在本地运行,而且IP地址也在特定的范围内。”

  但是,也有人持不同意见,特别是David Ulevitch(OpenDNS公司首席执行官,这家公司提供开放递归DNS服务)。它不同意由乔治亚理工学院(Georgia Tech)以及Google研究人员得出的结论:互联网上大约有1700万台开放递归DNS服务器,其中68,000台即大约0.4%的服务器对DNS请求进行了错误的响应,导致用户被重新定向到恶意网站。虽然没有争论数字正确与否,但是Ulevitch指出,研究人员只能测试开放递归DNS域名服务器,但是对于封闭的服务器有没有恶意行动却无能为力。

  最关键是必须优先保证企业DNS的安全,以便保证公司的利益,并增强防御未来有可能发生的拒绝服务攻击的承受能力,这对网络整体的发展也是有好处的。这将是一个艰巨的任务。据估计,今天在互联网上有超过1100万台的DNS服务器,其中至少有一半允许递归查询,而且有超过30%的服务器允许地区传输或者域地区之间的同步。在这个世界上不是所有的DNS服务器都不安全,但是就算是有90%是安全的,仍然会有超过100万台的服务器不安全,这个数字令人担忧。

翻译

Sean
Sean

相关推荐

  • BrickerBot是如何攻击企业IoT设备的?

    我所在的公司的网络囊括物联网(IoT)设备。我听说BrickerBot能够在发动拒绝服务攻击后永久性地损坏一些IoT设备。那么,企业可以采取什么措施来抵御BrickerBot?

  • BlackNurse攻击:4Mbps搞瘫路由器和防火墙

    研究人员公布名为“BlackNurse”的低容量ICMP拒绝服务攻击,该攻击能够凭借笔记本电脑的仅4Mbps的恶意数据包将路由器及防火墙弄瘫痪。

  • 常见网络入侵方法剖析

    为了抵御黑客的攻击,我们应该了解黑客的攻击方法,清楚这些攻击方法的工作原理以及对网络造成的威胁。在本文中我们将分析几种常见的网络入侵方法。

  • 微软发布关键Windows公告 改变可利用系数

    微软将于5月10日发布安全公告。在上周四针对用户的提前通知中,微软表示五月份的补丁计划比较简单,只有两个公告,一个为“危急”,一个为“重要”。分别针对什么呢?