|
|
|
|
|
|
來(lái)源:賽迪網(wǎng) 發(fā)布日期:2015.08.06 點(diǎn)擊量:
近日,美國(guó)ISC(Internet Systems Consortium) 緊急發(fā)布補(bǔ)丁,目的用于修補(bǔ)隱藏在DNS域名解析服務(wù)軟件ISC BIND中的嚴(yán)重安全漏洞。該安全漏洞編號(hào)為CVE-2015-5477,能夠允許遠(yuǎn)程、未經(jīng)認(rèn)證的攻擊者使用BIND發(fā)送特殊的命令,導(dǎo)致DNS服務(wù)器崩潰。目前,所有BIND 9版本, 互聯(lián)網(wǎng)上對(duì)應(yīng)版本的遞歸服務(wù)器和權(quán)威服務(wù)器均受到該漏洞影響。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
BIND是目前部署在域名服務(wù)器中應(yīng)用最廣泛的開(kāi)源軟件之一。據(jù)悉,通過(guò)該漏洞,一名攻擊者可以在一次行動(dòng)中造成一片網(wǎng)絡(luò)區(qū)域不正常,讓運(yùn)行BIND 的DNS服務(wù)器崩潰,讓大量用戶無(wú)法連接互聯(lián)網(wǎng)。當(dāng)多名攻擊者同時(shí)行動(dòng)時(shí),就會(huì)導(dǎo)致足夠多的DNS服務(wù)器出現(xiàn)崩潰,可能會(huì)造成今年最大規(guī)模的網(wǎng)絡(luò)罷工。
此漏洞之所以能造成廣泛影響,是因?yàn)锽IND句柄的TKEY查詢中出現(xiàn)了Bug,一個(gè)簡(jiǎn)單的UDP包就可以導(dǎo)致BIND服務(wù)器出現(xiàn)“assertion failure”錯(cuò)誤,進(jìn)而服務(wù)器上的DNS服務(wù)守護(hù)進(jìn)程會(huì)結(jié)束。根據(jù)實(shí)際使用情況評(píng)估,盡管TKEY 查詢功能使用較少,但由于基于漏洞構(gòu)造的惡意攻擊包有可能存在極強(qiáng)的前置條件,即使在服務(wù)器上配置訪問(wèn)控制列表或限制(拒絕)相關(guān)配置選項(xiàng),也不能有效防范漏洞攻擊。
DNS 攻擊日志
DNS是大多數(shù)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵點(diǎn),破壞了DNS,意味著電子郵件服務(wù)、HTTP服務(wù)、以及其他許多服務(wù)都不可用。據(jù)知道創(chuàng)宇ZoomEye團(tuán)隊(duì)對(duì)全國(guó)DNS服務(wù)器進(jìn)行摸底探測(cè)的調(diào)查數(shù)據(jù)顯示,國(guó)內(nèi)使用ISC BIND服務(wù)的有29913臺(tái),地域分布前五名分別是:北京 6446 臺(tái) (占我國(guó)使用ISC BIND 的服務(wù)器總數(shù)的21.55%) , 廣東3684 臺(tái)(占比12.3%),上海2712 臺(tái)(占比9.07%),江蘇 1955 臺(tái)(占比6.54%),浙江1913臺(tái)(占比6.40%)。
目前, 廠商已經(jīng)發(fā)布了漏洞修補(bǔ)程序。知道創(chuàng)宇提醒用戶盡早升級(jí)到BIND最新版本,并及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。另外,通過(guò)接入知道創(chuàng)宇旗下重磅安全產(chǎn)品創(chuàng)宇盾,也可以保護(hù)用戶不受此漏洞影響。
歷史上重大DNS安全事件回顧
一、1·21中國(guó)互聯(lián)網(wǎng)DNS大劫難
2014年1月21日下午3點(diǎn)10分左右,國(guó)內(nèi)通用頂級(jí)域的根服務(wù)器忽然出現(xiàn)異常,導(dǎo)致眾多知名網(wǎng)站出現(xiàn)DNS解析故障,用戶無(wú)法正常訪問(wèn)。雖然國(guó)內(nèi)訪問(wèn)根服務(wù)器很快恢復(fù),但由于DNS緩存問(wèn)題,部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍持續(xù)了數(shù)個(gè)小時(shí),至少有2/3的國(guó)內(nèi)網(wǎng)站受到影響。事故發(fā)生期間,超過(guò)85%的用戶遭遇了DNS故障,引發(fā)網(wǎng)速變慢和打不開(kāi)網(wǎng)站的情況。
二、百度:baidu.com域名被劫持
2010年1月12日上午,百度被自稱(chēng)是伊朗網(wǎng)軍(Iranian Cyber Army)的黑客組織入侵,域名baidu.com的WHOIS傳輸協(xié)議被無(wú)故更改,權(quán)威DNS服務(wù)器被更換至雅虎屬下的兩個(gè)域名服務(wù)器,www.baidu.com指向到海外的一個(gè)服務(wù)器。該故障導(dǎo)致網(wǎng)民無(wú)法正常登陸百度網(wǎng)站達(dá)8小時(shí)之久,是百度成立以來(lái)最嚴(yán)重的服務(wù)器故障事件,給造成百度直接損失超過(guò)700萬(wàn)元人民幣。
三、新浪:DNS服務(wù)器出現(xiàn)域名無(wú)法解析故障
2012年1月30日,正值春節(jié)之后的工作日,新浪網(wǎng)卻慘遭訪問(wèn)故障,部分地區(qū)出現(xiàn)無(wú)法訪問(wèn)的情況,聯(lián)通用戶影響尤為嚴(yán)重。根據(jù)新浪官方聲明,正是因?yàn)镈NS服務(wù)器出現(xiàn)域名無(wú)法解析故障所致。該次故障持續(xù)時(shí)間較短,但鑒于新浪在國(guó)內(nèi)的影響力,所以本次事件不得不提。
四、某知名CDN服務(wù)商:DNS故障致多家知名網(wǎng)站斷線時(shí)間超一小時(shí)
2013年1月27日,某知名CDN服務(wù)商DNS故障導(dǎo)致不少大客戶斷線時(shí)間超過(guò)一小時(shí),包括163、騰訊、鳳凰網(wǎng)、百度、多玩、m1905、樂(lè)視網(wǎng)以及12306在內(nèi)的知名網(wǎng)站在部分地區(qū)的訪問(wèn)受到影響。官方稱(chēng)是技術(shù)升級(jí)中一模塊故障導(dǎo)致,但有消息指出,真正的原因是系統(tǒng)故障,因公司年會(huì)無(wú)人監(jiān)控導(dǎo)致應(yīng)急處理速度降低。
五、CN域名:“遭攻擊”致大面積癱瘓
2013年8月25日,.cn域名解析節(jié)點(diǎn)受到拒絕服務(wù)攻擊,受到影響的包括新浪微博客戶端及一些.cn網(wǎng)站。根據(jù)DNSPod的監(jiān)控顯示,CN的根域授權(quán)DNS全線故障,所有CN域名均無(wú)法解析。
相關(guān)新聞:
