DNS的漏洞问题
DNS在网络中是如此重要,但由于在最初设计时没有考虑它的安全问题,这导致它存在很多安全漏洞,具有着先天的脆弱性。它首先可被利用来进行网络钓鱼攻击,比如黑客可以通过DNS劫持将人们引诱到假冒到银行网站或商业网站上去,欺骗用户泄漏自己的银行账户密码等资料;或者将用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址;甚至黑客还能利用它来进行DDoS攻击,就比如这次由于暴风影音域名解析请求过多而造成网络瘫痪一样。
在去年,美国一名安全研究员Dan Kaminsky就发现了DNS的一个严重漏洞,通过“缓存中毒”的方法,黑客可以有效地伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。虽然这一漏洞其实一直存在,但Kaminsky所发现的欺骗方法,只需短短10分钟就可以完成,不仅使得利用DNS漏洞发动攻击的难度大大降低,也使得破坏力大大增强。对于这一漏洞,Kaminsky表示,这是基于DNS本身的设计而造成的安全漏洞,现在放出的修补程序虽然有办法让攻击难度提高个几千倍,但是还是无法根本的解决这个问题。
事实上,安全研究人员很早就已注意到,由于原有DNS设计上的先天缺陷,DNS的漏洞问题无法得到根本性的解决,要彻底解决这一问题,只有重新开发新的DNS。于是早在1997年1月,人们开始发展DNS安全扩展(DNSSEC)协议,这一协议创建的目的是为了解决原DNS协议中的漏洞,使之不再容易遭受攻击。不过,由于DNSSEC会产生额外的数据开销,当时并未得到普及。而且,根据早期的协定,如果要使用DNSSEC,必须将之覆盖整个互联网,这也使得其普及有一些难度。此外,一些有关隐私和法律方面的疑虑,也使得其无法获得普及。
虽然仍存在种种问题,但使用新的DNS协议是大势所势,尽管这步伐看来会相当缓慢。去年,ICANN已批准将.org域名作为首先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名,DNSSEC的普及已迈出了重要一步。我们相信,最终所有域名都会转移到DNSSEC上,而如今不断涌现出的DNS故障问题,或许也会加快这一普及的步伐。
网友评论