对DNS的攻击已有很长的历史,从暴力拒绝服务攻击到需要专门软件的目标攻击都有。2008年7月,一种新的DNS缓存中毒攻击被披露出来,这种攻击被认为特别危险,因为它不需要大量的带宽或处理器资源,也不需要复杂的技术。
对域名系统的攻击已有很长的历史,从暴力拒绝服务攻击到需要专门软件的目标攻击。2008年7月,一种新的DNS缓存中毒攻击被披露出来,这种攻击被认为特别危险,因为它不需要大量的带宽或处理器资源,也不需要复杂的技术。
使用缓存投毒,攻击者试图将一个互联网域的虚假地址记录插入DNS。如果服务器接受了虚假的记录,缓存就会被破坏,随后对域地址的请求会用攻击者控制的服务器地址来回答。只要假条目被服务器缓存(条目通常有几个小时的生存时间——或者TTL——),订阅者的浏览器或电子邮件服务器就会自动转到被入侵的DNS服务器提供的地址。(参见DNS缓存中毒如何工作的幻灯片。)
这种攻击通常被归类为“网址嫁接”攻击,它会造成一些问题。首先,用户认为他们在一个熟悉的网站,但他们不是。与“钓鱼”攻击不同,在“钓鱼”攻击中,警告用户可以发现可疑的URL,在这种情况下,URL是合法的。记住,浏览器会自动解析域名地址,因此用户不会进行任何形式的干预,而且,由于没有发生任何异常,他们也没有理由怀疑。
另一个问题是,如果攻击者成功将单个虚假条目插入到缓存服务器中,则可以重定向数百甚至数千个用户。通过请求域的普及,问题的规模被放大。在这种情况下,即使是一个适度经验丰富的黑客可能会导致很多麻烦,获取密码和其他有价值或敏感的信息。
也有可能以类似的方式攻击电子邮件系统。攻击者不是在DNS缓存服务器中插入Web服务器的假记录,而是在邮件服务器中插入假记录,从而将公司电子邮件重定向到他们控制的服务器。
那么,攻击者需要做什么才能说服缓存服务器接受假条目呢?当DNS缓存服务器从订阅者那里获得一个域查询时,它会查看是否缓存了条目。如果没有,它会询问权威的DNS服务器(由域注册中心或域所有者自己运行),并等待他们的响应。
在此目前的最新漏洞之前,攻击者只能利用这一狭窄的开头:他们必须通过发送假查询响应来击败合法权威的DNS服务器,希望他们首先使用正确的查询参数值来到缓存服务器。这些比赛通常只持续一秒钟,使攻击者难以成功。
但是,由于安全研究员弄清楚了消除狭窄时间窗口的方法,因此竞争的动态被大幅改变了攻击者。这是通过在缓存服务器上迅速发射问题来实现的,攻击者知道服务器将无法回答。例如,攻击者可以问1q2w3e.google.com是哪里,知道缓存服务器不太可能有这样的条目。从缓存服务器引起后续问题,并创建数百万机会来发送假答案。
攻击者不仅可以有一次竞赛,还可以有数百万次竞赛,从而有更多机会猜测查询参数的正确值,从而使攻击变得危险。事实上,已经证明开源DNS服务器可以在10秒内被攻破。
中毒的条目1 q2w3e.google.com是没有用的,因为没有人会要求领域,但这是攻击的最后部分发挥作用的地方:在假答案攻击者还指出一个假的名称服务器的缓存服务器域攻击者想要妥协。缓存服务器存储这两部分信息。
由于攻击者现在控制域的名称服务器,因此后续对域的每个查询都将被定向到攻击者的服务器。这意味着攻击者现在控制域的所有子域的地址:www.bigbank.com, mail.bigbank.com,等等。这是非常强大的;针对任何子域的任何请求都可以被定向到攻击者所选择的服务器。
为了解决这些问题,决定用于查询的UDP端口不再是默认端口53,而是从整个UDP端口(较少的保留端口)随机选择的端口。UDP源端口随机化或UDP SPR,因为它被调用,攻击者猜测查询参数更加难以猜测UDP端口的16位查询ID和多达16位,因此必须正确,用于总共高达40亿种组合。
但企业发现他们的DNS服务器位于提供网络地址转换(NAT)的各种设备后面。大多数NATS De-随机化DNS服务器使用的UDP端口,呈现更效益的新修复。IT经理在防火墙中开放全方位的UDP端口也不热衷。更糟糕的是,另一个安全研究员展示了即使在64,000个UDP端口上随机化提供的保护,仍然可以毒害DNS服务器。
现在怎么办呢?
现在是时候考虑保护DNS的替代方法了。UDP源端口随机化是一个有用的防御,但是在通过UDP SPR和通过打开一系列端口或劣化防火墙性能创建的曝光时,需要击中平衡。DNS服务器的安全操作模式,例如在检测到潜在攻击时切换到TCP连接,是另一个有用的防御。
当攻击者幸运地猜测必要的参数来欺骗查询响应时,就需要额外的防御。这意味着DNS服务器需要变得更聪明,并分析查询响应,以便从攻击者发送的虚假答案中删除潜在的有害信息。
鲍勃·哈雷(Bob Halley)是Nominum的首席建筑师。