Cât de mare este Alphabet ???
根据面向公众的互联网域名服务器的全球调查,超过10%的互联网DNS(域名系统)服务器仍然容易受到缓存中毒攻击。这是因为这些漏洞被披露并修复后的好几个月,DNS专家Cricket Liu,其公司Infoblox委托进行年度调查。“我们估计有1190万个域名服务器,超过40%允许开放式递归,因此他们接受来自任何人的查询,其中有四分之一没有修补,因此有130万名名单服务器容易受到攻击,“Infoblox的架构副总裁Liu说道。[更多阅读:如何清除恶意软件从你的风他说,其他DNS服务器可能允许递归,但并不向所有人开放,所以他们没有被调查所接受。他说,缓存中毒漏洞通常以安全研究员Dan Kaminsky在7月份发布了它的详细信息,这是真的:“Kaminsky在被公开几天后就被利用了,”他说。“针对这个漏洞的模块已被添加到黑客和渗透测试工具Metasploit , 例如。具有讽刺意味的是,Metasploit的作者HD Moore使用了一个由缓存中毒攻击导致攻击的DNS服务器。目前,缓存中毒漏洞的解决方案是端口随机化。通过发送来自不同源端口的DNS查询,这使得攻击者很难猜测哪个端口发送有毒数据。
然而,这只是一个部分修复,刘警告说。 “端口随机化缓解了这个问题,但它不会使攻击变得不可能,”他说。 “这实际上只是加密检查的一种权宜之计,这正是DNSSEC安全性扩展所做的。
”DNSSEC将需要很长的时间才能实施,因为涉及到很多基础设施 - 密钥管理,区域签名,公钥签名等。我们认为今年DNSSEC的采用可能会有明显增长,但我们在百万个样本中只看到了45个DNSSEC记录。 “去年,我们看到了44个。”
刘表示,从积极方面来说,调查发现了好几个好消息,例如,支持SPF - 发件人策略框架,它打击电子邮件欺骗 - 在过去的12个月中,从12.6%的抽样区域上升到16.7%。此外,连接到互联网的不安全微软DNS服务器系统的数量已经从总数的2.7%下降到0.17%。这些系统仍然可以在组织内部使用,但重要的是,“人们不愿意将它们连接到互联网。”
展望未来,Liu表示,只有那些特别需要开放式递归DNS的组织服务器 - 以及防止被洪水淹没的技术能力 - 应该能够运行它们。“我希望看到开放式递归服务器的百分比下降,因为即使它们被修补了,它们也会成为拒绝服务的理想放大器服务攻击“,他说,”我们不能摆脱递归服务器,但你不必只允许任何人使用它们。“