近日,一个未修复的关键安全漏洞被披露,通过利用该漏洞可对物联网类产品造成巨大的安全威胁。该漏洞最早于2021年9月被报告,影响了用于开发嵌入式Linux系统的两个流行的C库——uClibc和uClibc-ng的域名DNS系统的正常使用,这可能会使数百万物联网设备面临巨大的安全威胁。
网络安全研究人员表示,该漏洞可能允许攻击者对目标设备实施DNS投毒攻击。成功利用该漏洞可进行中间人 ( MitM ) 攻击并破坏DNS缓存,从而将互联网流量重定向到他们控制的恶意服务器上。如果将操作系统配置为使用固定或可预测的源端口,则可以轻松利用该漏洞,窃取和操纵用户传输的信息,并对这些设备进行其他攻击。
什么是DNS投毒?
DNS缓存投毒又称DNS欺骗,是一种通过查找并利用DNS系统中存在的漏洞,将流量从合法服务器引导至虚假服务器上的攻击方式。与一般的钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法URL地址。
DNS投毒的工作机制
在实际的DNS解析过程中,用户请求某个网站,浏览器首先会查找本机中的DNS缓存,如果DNS缓存中记录了该网站和IP的映射关系,就会直接将结果返回给用户,用户对所得的IP地址发起访问。如果缓存中没有相关记录,才会委托递归服务器发起递归查询。
这种查询机制,缩短了全球查询的时间,可以让用户获得更快的访问体验,但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存,就可以对DNS缓存中的域名映射关系进行篡改,将域名解析结果指向一个虚假IP。
在这种情况下,用户再次对该网站发起请求时,通过DNS系统的解析会直接将虚假的映射关系返给用户,将用户引导至虚假站点之上,从而造成信息泄露,财产安全受到影响。
如何应对DNS投毒
(1)DNS服务器中Bind等软件采用源端口随机性较好的较高版本。源端口的随机性可以有效降低攻击成功的概率,增加攻击难度。
(2)增加权威域名服务器的数量。据调查,国际和国内在权威域名服务器部署的数量方面近几年均有所提升,但应进一步加强。
(3)在现有DNS协议框架基础上,引入一些技巧性方法,增强DNS安全性。如在对DNS应答数据包的认证方面,除原查询包发送IP地址、端口和随机查询ID外,再增加其他可认证字段,增强认证机制。
(4)改进现有DNS协议框架,例如在DNS服务器上配置DNSSEC安全的机制,提升对应答数据包的弱认证方式以提高DNS安全性,或引入IPv6协议机制。
(5)采用DNS智能云解析技术。中科三方云解析系统配备10万+加速节点覆盖全国所有省份和运营商,主动向全国公共DNS推送域名记录,支持最低1秒的TTL值,可大幅提升域名解析的准确性和稳定性,降低公共DNS的递归时间,提升网站的解析速度,有效避免DNS劫持、DNS投毒造成的损失。
DNS在互联网上应用广泛,其安全性关系整个Internet的稳定。DNS缓存投毒作为一种常见的DNS攻击手段,具备危害性大、隐蔽性强等特点,如果与其他攻击技术结合,其对于网络安全的破坏性更强。因此,如何提升DNS安全防御能力,有效应对DNS劫持、DNS投毒等攻击手段,应成为广大政企网站关注的重点。
