IT猫扑网:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|论坛转贴|软件发布

您当前所在位置:首页系统集成网络管理 → 由DNS漏洞引发的Web安全思考

由DNS漏洞引发的Web安全思考

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

  DNS是大多数互联网服务核心,然而DNS中却也存在漏洞。通常如果DNS出现问题的话,每个网站都可能发生故障,而且所有的电子邮件也将不知去向,问题会很严重。

  DNS(域名系统)是大多数互联网服务核心,然而DNS中却也存在漏洞。通常如果DNS出现问题的话,每个网站都可能发生故障,而且所有的电子邮件也将不知去向,总之,问题会很严重。你可能已经在很多媒体报道中听闻过这件事,华尔街日报,BBC新闻,以及一些媒体界地位显赫的人也在报道这则消息,甚至连SecurityFocus也不例外。具体来说,主要谈论的是以下问题:

  1 在很多平台中都有一个漏洞

  2 在很多平台中都有完全相同的漏洞(设计上出现的漏洞总让人很头痛)

  3 经过我们不懈的努力,终于得到了所有主要平台的漏洞补丁,并且几乎是在同一天。

  4 这在之前并未发生过。所有的一切真正地得到了控制。

  对于我们在漏洞问题上获得的成就我感到相当自豪。我们有Windows,我们有Cisco IOS,我们有Nominum,我们还有BIND 9,而且当我们没有BIND 8时,我们还有Yahoo--大家所知道的最大的基于BIND 8建设的网站,而Yahoo公开承诺将完全屏弃BIND 8。

  CERT(Computer Emergency Response Team,是由美国联邦政府资助专门研究计算机及网络安全的组织,他们随时提供最新发现的计算机及网络安全问题,并提供一些解决方法)为我们的工作提供了很多详细信息,并且我和Rich Mogull对于Securosis问题进行了全面的探讨。对于普通读者来说,你们可能想要获取更多更完整的资料,不过这里所谈的东西也有限,但我确实有些东西想告诉大家。

  我们完成的工作真的是意义重大。

  要强调的是我们!而不是我个人,因为我自己一个人是不可能完成这个巨大工程的。

  首先要感谢的是Paul Vixie,一个大家所熟知的组织机构,长期以来维持着互联网上最流行的DNS服务器。PAUL能够将我们所需要的工程师聚集起来,共同解决这个问题。我们需要 Florian Weimer, 从欧洲远道而来.我们需要David Dagon, Jinmei Tatuya, 以及Wouter Wijngaards. 我们还需要Microsoft, Cisco, Nominum, Neustar, 以及OpenDNS.Paul都做到了。

  当然我们也少不了CERT的帮助。

  我们进行了有趣的探讨,虽然期间出现了很多分歧,但是慢慢地也开始达成很多共识。在对很多方法进行评估后,其中最好的方法也逐渐清晰出来,我必须承认,这让PAUL着实有些尴尬。

  DJB是正确的。在很多年前,Dan J. Bernstein就是正确的:源端口随机化应该要在生产使用中成为每一个域名服务器必须具备的标准。

  在我工作的过程中有一句这样的话一直指导着我前行:运气是设计的残余物质。Dan Bernstein无疑是一个特别幸运的程序员,但是这也并非偶然。这位程序专家以一种十分自然的方式进行着他的系统工程,就像生命和呼吸一样自然的方式,这是置身于混乱代码中的我渴望的一种工作方式。从这点来看他是"幸运的",他成功地让自己免受那些几乎从未遇到过的攻击的袭击。

  而这才是真正优秀设计的标志,优秀的设计可以让你免受那些你完全不知道的事物的困扰,所以我们正在部署这种优秀设计来提供各种信息。

  为了让大家能够更好地理解这个修复补丁,我们可以这样来理解,想象一下从匿名用户到身份验证用户处产生的大量WINDOWS RPC,或者只是管理员。只要联想一下WINDOWS XP SP2。从设计的角度来看,这像是一个大斧子,它能够切断所有攻击面,而不需要说明原因。通过一个适当的修补程序,甚至连微乎其微的漏洞都能够很容易隐藏,或者变得无关紧要。

  当然,很显然会有一些新的问题出现,一些最终将会被发现的问题。还是存在很多漏洞程序,这些漏洞程序不仅仅容易受到新的漏洞的攻击,即使是对于那些存在多年的漏洞仍然没有办法。如果我们做出的所有努力能够将那些困扰我们很久的BIND 8漏洞从互联网中清除,如果我们能够完全消除Joe Stewart于2002年制造的生日攻击,如果我们能够对于Amit Klein去年发现的Transaction ID Randomness开始作出一些努力,如果DJB多年前警告过我们的静态断口分配问题能够解决,那么我们就获得了巨大的胜利。

  新问题之所以如此严重是有原因的,但是我认为理性的人应该会同意这样的说法,那就是,即使只是旧的漏洞,都将成为互联网安全的巨大威胁。所以,我想请问开放研究社区,假设我什么都没有发现,假设这只是一个噱头,只是想引起人们对JOE和AMIT以及DJB等问题的重视,以及给网络扫描器一个透明的清晰的环境,让人们知道可信的好的服务器是怎样的。

  Joe 和Amit 特别是 DJB做了一些让我们难以置信的事情 ,我从中看到了最可怕的一面,但是他们的漏洞最终还是被修复了,并且至今还没有出现问题。

  对于那些不会作出这样假设的人,我有一个请求,一个不寻常的请求,可能也是不合理的请求,但是我还是要问。

  我要你们探索DNS,我希望你们能尝试建立类似的漏洞,来找出可能出现的问题。也许我漏掉了一些东西,希望你们能把我漏掉的部分补充上来,那么我们就能尽快地解决它。真的希望你们能和我一起努力把所有问题都解决掉。同样,我一直都想能够让我的家人安全地使用互联网,我不奢望永远的安全,我只要哪怕三十天。我已经尽自己全力去获取有效补丁,不管是哪种平台。但是代码总是不能自身安装。当我不在场的时候,希望你们能帮助我一起将所有这些旧的或新的漏洞从互联网中清除,以保障公共论坛和IRC频道的正常秩序。我们很好奇,我们想知道问题是如何产生的。但是当公众需要哪怕一次修复这些漏洞的机会,从一个十分自私的角度来说,我还是有点希望我的thunder不会被完全清除。

关键词标签:DNS漏洞,Web安全

相关阅读

文章评论
发表评论

热门文章 路由器地址大全-各品牌路由设置地址路由器地址大全-各品牌路由设置地址各品牌的ADSL与路由器出厂默认IP、帐号、密各品牌的ADSL与路由器出厂默认IP、帐号、密Nslookup命令详解-域名DNS诊断Nslookup命令详解-域名DNS诊断站长装备:十大网站管理员服务器工具软件站长装备:十大网站管理员服务器工具软件

相关下载

人气排行 各品牌的ADSL与路由器出厂默认IP、帐号、密码路由器地址大全-各品牌路由设置地址腾达路由器怎么设置?腾达路由器设置教程ADSL双线负载均衡设置详细图文教程路由表说明(详解route print)网管员实际工作的一天用此方法让2M带宽下载速度达到250K/S左右网管必会!了解交换机控制端口流量