有关DNS的几个安全性问题
作者:demonalex
在TCP/IP架构中最不安全的莫过于应用层的数据安全了,什么程序/操作系统远程缓冲区溢出、脚本注入都发生在这一层,知道它如何不安全了吧?!今天我想谈谈的也是在这一层的、与各位日常的网迷们息息相关的协议----DNS服务的安全性问题。
最近总结出的有四种出于DNS服务而考虑的安全问题。
1)named服务程序本身的缺陷问题
2)区域文件泄露问题
3)DNS抑制
4)本地DNS文件欺骗
上述的第一、二种威胁是针对DNS服务器,而三、四种则属于针对DNS客户端的。
named服务程序本身的缺陷主要是指该服务的开发者在开发的阶段因为不注意而导致该服务在应用层方面出现类型缓冲区溢出导致攻击者得到ROOTSHELL或D.o.S导致服务或系统出错瘫痪之类的问题,相关缺陷的详细资料可以查阅当地的cert网站。勤加补丁或升级named服务程序是针对这个问题的最佳解决方法了。
区域文件泄露的问题很久以前就出现的了。状态是当客户端使用类似nslookup这样的工具更换主查询DNS服务器以后,该主服务器会以为客户端是本地的从DNS服务器,从而允许客户端查询整个DNS区域文件的内容的。下面是一个典型例子(/**/为解说部分):
------------------------------------------------------------------------------------------------------
C:\>nslookup
Default Server: tempdns2.guangzhou.gd.cn
Address: 61.144.56.101
> set q=all /*这里设置查询为全部*/
> super1.com.cn
Server: tempdns2.guangzhou.gd.cn
Address: 61.144.56.101
Non-authoritative answer:
super1.com.cn
primary name server = ns.xinnetdns.com /*在这里得到了该域的主域名服务器地址*/
responsible mail addr = hostmaster.xinnetdns.com
serial = 1090836369
refresh = 3600 (1 hour) <