系统可能会放大攻击
系统管理员在配置和管理DNS安全拓展上犯错,使得原本安全的系统在DNS反射攻击中被利用。
这是Neustar发布的研究中的结论,研究发现,经受测试的超过1300个被DNS安全扩展保护的域名中,80%在攻击中能被利用。
问题域名被DNS安全拓展展开,并回应DNS“任意”查询。“任意”请求要求应答器提供关于域名的所有信息,包括MX(邮件服务器)记录,IP地址等等。因此一个任意请求报告了比一个简单的域名地址请求更多的内容。
总之,DNS安全扩展的响应更大。正如Neustar的报告中所说,“有数字散列签名和复杂的密钥交换,DNS安全扩展记录在很大程度上比标准DNS更大!”。
Neustar计算,一般低配置的DNS安全拓展服务器能够增加28.9倍攻击者的通信量;他们能让一个80个字节的查询有2313个对象;他们从被保护的服务器中得到的最大的对象有17377个字节,是查询尺寸的217倍。
这次试验用递归服务器管理,这不在Neustar的控制范围内。
倘若域名不但是一个拒绝服务变量,而且要用查询交换DNS,公司称这种攻击会耗尽他们的成本。
不幸的是,所有这些并非一个程序漏洞,而是一种功能:甚至对于DNS安全拓展来说,系统的目的是回答查询——所以这不是应用补丁的问题,这是保护系统的问题。
总体而言,对于运算符最好的建议是滤出任意请求,并且将滥用检测机制放置到位。
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57ba895192d0ce1f0bc2a50b.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
扫一扫
6798
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
