要运行DNS安全扩展应答器?先确保它不会助攻黑帽


要运行DNS安全扩展应答器?先确保它不会助攻黑帽


系统可能会放大攻击

系统管理员在配置和管理DNS安全拓展上犯错,使得原本安全的系统在DNS反射攻击中被利用。

这是Neustar发布的研究中的结论,研究发现,经受测试的超过1300个被DNS安全扩展保护的域名中,80%在攻击中能被利用。

问题域名被DNS安全拓展展开,并回应DNS“任意”查询。“任意”请求要求应答器提供关于域名的所有信息,包括MX(邮件服务器)记录,IP地址等等。因此一个任意请求报告了比一个简单的域名地址请求更多的内容。

总之,DNS安全扩展的响应更大。正如Neustar的报告中所说,“有数字散列签名和复杂的密钥交换,DNS安全扩展记录在很大程度上比标准DNS更大!”。

Neustar计算,一般低配置的DNS安全拓展服务器能够增加28.9倍攻击者的通信量;他们能让一个80个字节的查询有2313个对象;他们从被保护的服务器中得到的最大的对象有17377个字节,是查询尺寸的217倍。

这次试验用递归服务器管理,这不在Neustar的控制范围内。

 倘若域名不但是一个拒绝服务变量,而且要用查询交换DNS,公司称这种攻击会耗尽他们的成本。

不幸的是,所有这些并非一个程序漏洞,而是一种功能:甚至对于DNS安全拓展来说,系统的目的是回答查询——所以这不是应用补丁的问题,这是保护系统的问题。

总体而言,对于运算符最好的建议是滤出任意请求,并且将滥用检测机制放置到位。



来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57ba895192d0ce1f0bc2a50b.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值