大多企业仍然容易受到DNS缓存中毒攻击

tuyao

到目前为止，只有不到0.02%的互联网采用了DNSSEC协议，DNSSEC协议在顶级域名方面取得了进展，但一项新研究显示，整体DNSSEC协议部署只占互联网的一小部分，让大部分企业都容易受到DNS缓存中毒攻击。
　　根据Infoblox和测试服务公司收集的数据显示，不到0.02%的DNS区域启用了DNSSEC，而有96%由于DNSSEC签名过期而没有通过验证。
　　DNS缓存中毒攻击威胁在一年前由知名研究人员Dan Kaminsky发现，而DNSSEC协议被认为是抵御DNS缓存中毒攻击的最佳防御。尽管Infoblox调查发现DNSSEC协议部署今年攀升了340%，但仍然有很长的路要走。
　　Infoblox公司架构副总裁同时也是DNS专家Cricket Liu表示，这次调查还首次研究了现有的DNSSEC 协议部署是否上升以及运行情况，“关于DNSSEC协议部署的奇怪的现象就是，我们看到数据持续上升，但都是从极小的数字到更小的比率，”Liu表示，“这是我们第一次检查在这些DNSSEC协议区域验证数据的能力，而几乎有四分之一没有通过验证，由于签名过期，这很令人失望。”
　　他表示，这些企业可能一直在将DNSSEC作为实验，“这也就是说，加上一些工具，会让DNSSEC协议变得很难运行，”他说道，“四分之一的区域过期说明，DNSSEC协议的重新签名并不是自动的，大家设置好DNSSEC协议来进行实验，然后就不闻不问了。”
　　与此同时，Kaminsky一直致力于让DNSSEC协议部署更加简单，他近日发布了一个免费的工具包，Phreebird Suite1.0，该工具包可以让企业尝试使用DNSSEC协议，同时也向他们证明这个协议并不难部署。Phreebird Suite 1.0是一个位于DNS服务器前面的实时DNSSEC代理服务器，并且对其响应进行数字签名。
　　Infoblox调查还发现，在所有DNS域名服务器中，将近有75%的服务器位于单个授权区域，这样容易出现单点故障，“这是很糟糕的事情，”Liu表示。假设路由基础设施出现问题或者故障，那么将会失去互联网业务。
　　一些网络目前仍然缺乏的是DNSSEC协议需要的基本网络配置。Liu表示：将近20%的域名不允许TCP查询，而26.4%不支持DNS协议的扩展机制。
　　Infoblox建议企业为部署DNSSEC协议做好准备，升级到最新版本的BIND，使用端口随机化，隔离内部和外部域名服务器，并且隔离授权DNS域名服务器和递归DNS域名服务器。