ที่มีความเสี่ยงน้อยมาก

กว่าล้านเซิร์ฟเวอร์ DNS ของอินเทอร์เน็ตยังคงอ่อนแอ การโจมตีแคช - ยาพิษในเดือนกรกฎาคม

เซิร์ฟเวอร์ DNS (Domain Name System) มากกว่า 10% ยังคงเสี่ยงต่อการโจมตีแบบแคชโดยอ้างอิงจากการสำรวจทั่วโลกของเซิร์ฟเวอร์ชื่อผู้ให้บริการอินเทอร์เน็ตสาธารณะ

DNSs Cricket Liu ซึ่งเป็น บริษัท ของ บริษัท Infoblox ได้รับหน้าที่การสำรวจประจำปีกล่าวว่า "เป็นเวลาหลายเดือนนับตั้งแต่มีการเปิดเผยช่องโหว่และมีการแก้ไข"

"เราคาดว่ามีเซิร์ฟเวอร์ชื่อผู้ใช้ถึง 11.9 ล้านคนและมีการเรียกซ้ำอีกครั้งกว่า 40 เปอร์เซ็นต์ ดังนั้นพวกเขาจึงยอมรับข้อสงสัยจากคนอื่น ๆ โดยหนึ่งในสี่ไม่ได้รับการแก้ไขดังนั้นจึงมีผู้ทำาเครือข่ายชื่อ 1.3 ล้านรายที่มีช่องโหว่เล็กน้อย "Liu กล่าวซึ่งเป็นรองประธานฝ่ายสถาปัตยกรรมของ Infoblox

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ จากลมของคุณ เซิร์ฟเวอร์ DNS อื่น ๆ อาจช่วยให้การทับทิม แต่ไม่ได้เปิดให้ทุกคนดังนั้นพวกเขาจึงไม่ได้รับการหยิบขึ้นมาจากการสำรวจเขากล่าวว่า Liu กล่าวว่าช่องโหว่พิษแคชซึ่งมักได้รับการตั้งชื่อตาม "Kaminsky ถูกใช้ประโยชน์ภายในไม่กี่วันหลังจากถูกเปิดเผย" เขากล่าว

โมดูลที่กำหนดเป้าหมายช่องโหว่นี้ได้ถูกเพิ่มเข้าในเครื่องมือทดสอบการเจาะระบบแฮ็กและการเจาะ Metasploit ตัวอย่างเช่น กระแทกแดกดันเซิร์ฟเวอร์ DNS ตัวแรกที่ถูกบุกรุกโดยโจมตีแคชเป็นพิษถูกใช้โดยผู้เขียน Metasploit, HD Moore

ตอนนี้ยาแก้พิษในช่องโหว่ของแคชคือการสุ่มตัวอย่างแบบสุ่ม ด้วยการส่งการสอบถาม DNS จากพอร์ตต้นทางที่แตกต่างกันทำให้ผู้บุกรุกสามารถคาดเดาได้ว่าพอร์ตใดจะส่งข้อมูลที่เป็นพิษไปยัง

อย่างไรก็ตามนี่เป็นเพียงการแก้ไขบางส่วนเท่านั้น Liu เตือน "การสุ่มตัวอย่างแบบ Port randomization ช่วยลดปัญหา แต่ก็ไม่ได้ทำให้การโจมตีล้มเหลว" เขากล่าว "นี่เป็นเพียงขั้นตอนในการตรวจสอบการเข้ารหัสลับซึ่งเป็นสิ่งที่ขยายความปลอดภัยของ DNSSEC"

"DNSSEC จะใช้เวลาอีกนานกว่าที่จะใช้งานได้เนื่องจากมีโครงสร้างพื้นฐานมากมาย การจัดการ, การลงนามโซน, การลงนามคีย์สาธารณะและอื่น ๆ เราคิดว่าเราน่าจะได้เห็นการยอมรับ DNSSEC ในปีนี้ แต่เราเห็นเฉพาะระเบียน DNSSEC เพียง 45 ระเบียนจากหนึ่งล้านตัวอย่าง ปีที่แล้วเราเห็น 44 "

นอกจากนี้จำนวนของระบบเซิร์ฟเวอร์ DNS ของ Microsoft ที่ไม่ปลอดภัยที่เชื่อมต่อกับอินเทอร์เน็ตลดลงจาก 2.7 เปอร์เซ็นต์เป็น 0.17 เปอร์เซ็นต์ Liu กล่าวว่า ระบบเหล่านี้สามารถนำมาใช้ภายในองค์กรได้ดี แต่กล่าวว่าสิ่งสำคัญคือ "ผู้คนกำลังเบียดเสียดจากการเชื่อมต่ออินเทอร์เน็ตเข้ากับอินเทอร์เน็ต"

มองไปข้างหน้า Liu กล่าวว่าเฉพาะองค์กรที่ต้องการเฉพาะ DNS แบบเปิด เซิร์ฟเวอร์และความสามารถทางด้านเทคนิคในการป้องกันไม่ให้ถูกน้ำท่วม - ควรเรียกใช้ "

" "ฉันชอบที่จะเห็นเปอร์เซ็นต์ของเซิร์ฟเวอร์ recursive แบบเปิดลงเพราะแม้ว่าจะมีการติดตั้งเครื่องขยายสัญญาณที่ยอดเยี่ยมสำหรับการปฏิเสธ - of - บริการ "เขากล่าว" เราไม่สามารถ กำจัดเซิร์ฟเวอร์ recursive แต่คุณไม่ต้องอนุญาตให้ทุกคนใช้งานได้ "