DNS缓存漏洞动摇互联网根基

    近来，网络上出现史上最强大的互联网漏洞——DNS缓存漏洞，此漏洞直指我们应用中互联网脆弱的安全系统，而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页，重则是网络钓鱼和金融诈骗，让用户稀里糊涂的就把自己网银帐号密码，网游帐号密码告诉给他人。而且这样的漏洞攻击让杀毒软件，反黑软件如同废纸一样毫无抵抗力，而且这样的威胁并不是只出现在一个小范围内，而是整个互联网！

微软7月安全漏洞补丁
小心因为Flash漏洞造成账号密码被盗
堵塞系统漏洞的“天使”
Vista漏洞验证——两分钟“攻破”登录密码
与时俱进，利用Flash漏洞挂马

     为什么DNS缓存漏洞是互联网上最大的漏洞？

     要了解DNS漏洞，就先要了解一下DNS的含义，它是Domain Name Server即域名服务器的缩写。它对于互联网有何作用呢？因为互联网设计的目的是交流与分享信息，但面对不同的国家不同地区不同的人们，彼此的共同约定就成了必需的，协议成为互联网世界重要的部分，DNS正是互联网最重要协议TCP/IP协议组中的一部分。

     形象一点说，域名服务器就像我们手机中的通讯簿一样，将数字式电话号码，直接用中文或英文来代替，而互联网本身用以区别的类似电话号码的东西叫IP地址，记住这些数字是十分不容易的，所以有了好记的域名，像https://www.officeba.com.cn正是本站的网站域名，因为互联网上有数以亿计的这样的东西，所以也就有了一个个DNS来帮助我们上网，进行转换。

     为了节约时间和带宽，大多数DNS服务器都会在本地存储从其他DNS服务器所接收到的响应，存储这些响应的区域被称为缓存。一旦将响应存储到了缓存，DNS服务器就可以在再次查询DNS服务器时直接使用本地存储信息，而本次发现的漏洞正和这种缓存机制相关。

     我们访问什么网站会被黑客控制

     要了解缓存漏洞，还要了解一下DNS查询是如何进行的？对于绝大多数个人电脑系统来说，DNS的查询并不是由自己的机器完成的，DNS查询会提交给另一台DNS服务器，这台服务器通常由我们上网的服务提供商即ISP提供，我们的上网请求由这台服务器再去与主干网进行真正的查询操作。这样做的好处是DNS的查询结果可以由这台机器给暂存下来，从而提高查询效率并降低由DNS带来的流量开销。

     一台缓存DNS服务器下面的个人电脑系统可能有几百、几千、几万甚至几十万台，从攻击的有效性而言，如果能够影响这台服务器的话，相比攻陷其下的桌面系统而言，成本便会降低很多。

     其实，针对缓存DNS服务器的攻击其实从很早就有研究，除了希望通过劫持网站流量来牟利的黑客之外，还有一些人使用这种方法达到一些其他的目的，例如屏蔽存在安全问题的网站，以及在一些国家存在的互联网内容净化处理等等，成功利用这个漏洞可能导致DNS服务器的用户联络错误的网络服务供应商，DNS缓存中毒攻击更改了DNS服务器的DNS缓存中某项，这样缓存中与主机名相关的IP地址就不再指向正确的位置。例如，如果www.example.com映射到IP地址192.168.0.1且DNS服务器的缓存中存在这个映射，则成功向这个服务器的DNS缓存投毒的攻击者就可以将www.example.com映射到其他的位置例如10.0.0.1。在这种情况下，试图访问www.example.com的用户就可能与错误的Web服务器联络，最终的影响各不相同，从简单的拒绝服务到网络钓鱼和金融诈骗都有。而在木马横行和黑客逐利化的今天，这个漏洞如果被黑客利用，那真正成了偷盗者的乐土。

     史上最强漏洞面前不必杞人忧天

     DNS缓存漏洞一提出后即成为业界焦点，有人将其称为史上最强大的漏洞，人们对它有“很黄很暴力”的担心。引出人们担心的原因主要有两点：其一，范围广泛，因为DNS是互联网的基础神经之一，但在这种基础之上我们却发现了一个致命的伤疤，其二，此漏洞可能导致我们数字财产与个人隐私的丢失，毕竟网络已渗透到我们生活的方方面面，查询与购物的过程中，有只无形的手竟然伸出来，真令人有不寒而栗的感觉。

     卡明斯基报告给网络用户提了个醒，我们现在互联网的脆弱的安全性，和其最初设计有密切的关系，并且，一旦有一个漏洞出现，会吸引大量的黑客注意这个点，而后一大批病毒木马会雨后春笋般出现，针对上述漏洞特征，我们也可以适时调整自己的策略。
     这个漏洞最大的受害人是我们广大用户，而我们用户面对这个漏洞几乎就是无能为力的。因为该漏洞并不在用户的终端机上而是在服务器上。应对的最好的办法是等待公司或ISP的工作人员修正问题，通过安装适当的补丁，能够消除以上两种弱点。对于缓存DNS服务器的管理员，首先上网检测一下补丁是否存在，如果有问题立即打好补丁，为了加强安全性，最好再通过其他的相应安全软件来防护，例如DNSsec。

     但是对于上游的权威的DNS服务器的管理员，现在还没有最好的办法，那什么也做不成，因为DNS服务器往往是从大公司购买的，算法等的无从知晓，所以修改基本上是无从下手，可以研究一下攻击方法从攻方研究一下守护的可能性，另外缓存DNS服务器并不受这方控制，这是最大的难点。当然大家共同期待卡明斯基的补丁尽早出炉。

     在IT的发展过程中，问题尤其是暴露出来的问题从来都不是可怕的，这并不表示我们对此束手无策，相反，这正是下一个改进的起点，发现者卡明斯基就投入了问题的解决中，估计补丁很快就会面世。

     此外，从技术上来说，这个安全漏洞可能中断互联网的运营，这对于普通用户最大问题是暂中断上网，另外，漏洞也不是对所有的DNS服务器都起作用，所以即使中断，也只能说是稍微变慢。