DNS

DNSSEC是新一代的網域名稱解析技術，相較於傳統的DNS解析，增加了公開金鑰與雜湊驗證等機制，ICANN預計明年開始在DNS的根伺服器上部署DNSSEC。文/沈經

網路域名與位址管理機構ICANN第38次大會於6/20-25在比利時首都布魯塞爾舉辦，ICANN主席Rod Beckstrom開幕致詞時指出，為了維護網際網路安全，將大力推廣DNSSEC。

根據DNS伺服器廠商Infoblox日前所做的調查顯示，目前全球網路上還有25％的DNS伺服器尚未針對此DNS之漏洞進行修補。

IOActive的安全研究員Dan Kaminsky在今年7月發現了一個DNS設計上的漏洞，惡意攻擊者可以藉由這個漏洞進行投毒攻擊，或是入侵使用者的電子郵件、瀏覽器。隨著這個漏洞被發現，許多廠商都釋出了DNS的修補版本，讓DNS伺服器更難被攻破。

Infoblox的調查顯示，有1/4的DNS伺服器沒有執行隨機配置來源連結埠（source port randomization），使得它們仍舊曝露在快取污染的攻擊風險中。

專門提供DNS（Domain Name System，域名系統）及DHCP（Dynamic Host Configuration Protocol，動態主機設定協定）服務裝置的Infoblox，近日發表一份與測量服務業者The Measurement Factory（TMF）共同執行的公眾網路DNS調查報導，發現有1/4的DNS伺服器仍含有快取污染漏洞。

由於中國網域特定的DNS伺服器已受到快取下毒，因此使用者直接被引導到由駭客所控制的惡意網站。

Websense安全實驗室在本周二（8/19）指出，該公司發現中國大型的電信營運商暨ISP業者─中國網通用戶所使用的預設DNS伺服器已遭到快取下毒（cache poisoning），一旦使用者打入錯誤或無效的網址，就會被引導到含有惡意程式的網站。

Websense說明，當使用者打錯網域名稱時，ISP業者通常會將使用者引導到另一提供許多廣告的網頁，以增加廣告營收，不過，由於中國網域特定的DNS伺服器已受到快取下毒，因此使用者直接被引導到由駭客所控制的惡意網站。

網路貼文顯示，已有駭客嘗試利用日前揭露的DNS漏洞入侵涵蓋Gmail、Hotmail、Yahoo、eBay及Facebook等伺服器。

根據英國科技媒體vnunet.net在上周六（7/26）報導，已有駭客嘗試攻擊日前被洩露技術細節的DNS漏洞。

Vnunet引述署名為James Kosin的Linux使用者在郵件論壇中所發表的文章，該文章張貼了在上周所蒐集的攻擊紀錄，顯示已有駭客嘗試利用此一DNS漏洞入侵涵蓋Gmail、Hotmail、Yahoo、eBay及Facebook等伺服器。

在DNS（網域名稱系統）快取中毒漏洞被他公開後，Dan Kaminsky 週四首度露面談話，他說他只希望大家知道應該馬上修補系統。(Robert Vamosi)

在第二屆黑帽大會會前視訊會議中，Kaminsky提出截至目前為止他所知道最詳盡的DNS漏洞（雖然他在今年初就已經發現，但卻遲至7月8日才對外公布）。DNS會把英文網址轉換成數字型的IP，是網際網路的基礎元件之一。他選擇此時發表，是因為修補程式已經發出來了。但他還是保留許多細節，希望大家能趕快補好系統，避免被壞人入侵。

截至星期三為止，網路上已有許多地方可以下載到DNS攻擊程式碼。(Robert Vamosi)

IOActive研究人員Dan Kaminsky在7月8日揭露DNS漏洞，不過在受影響廠商公佈修補程式，以及全球系統都已完成安裝修補程式後，才會公佈細節。他認為30天之內應該就會看到。

30天之後剛好是他在8月6日於Las Vegas舉行的黑帽駭客大會上發表演說的日子。