BIND的重大拒绝服务漏洞可致互联网大面积瘫痪

2015-07-31 |  作者:范范编译 |  来源:独家

摘要攻击者可以利用最流行的域名系统(DNS)服务器软件BIND中的新漏洞让大量用户无法连接互联网。从BIND 9.1.0至BIND 9.10.2-P2的所有BIND 9版本都存在这一漏洞,其可导致运行该软件的DNS服务器崩溃。

【CNW独家编译】攻击者可以利用最流行的域名系统(DNS)服务器软件BIND中的新漏洞让大量用户无法连接互联网。从BIND 9.1.0至BIND 9.10.2-P2的所有BIND 9版本都存在这一漏洞,其可导致运行该软件的DNS服务器崩溃。

域名系统相当于互联网上的电话本,其用途是将域或主机名转换成计算彼此间通信需要的以数字表示的IP(互联网协议)地址。 DNS由全球服务器网络组成,其中大量的服务器使用了由非营利机构互联网系统协会(ISC)开发并维护的软件包BIND。

ISC在周二公布并修补的漏洞非常关键,因为其可被用于攻击使用该软件包的权威和递归查询DNS服务器。权威DNS服务器为可为一个或多个域名,甚至是为类似.com的整个顶级域名保留记录的服务器。递归查询DNS服务器会接收来自计算机的查询,然后在DNS阶层中进行搜索直到通过权威服务器找到计算机正在寻找的域名。随后它们会反馈这些信息。

大部分计算机和路由器被配置使用由互联网服务提供商运营的递归查询DNS服务器。如果这些DNS服务器发生故障,那么它们所服务的计算机将无法找到互联网中的网站。

目前还没有一个配置方案可以保护BIND不受这一漏洞的影响,也没有一个方法可以阻止这攻击者通过访问控制列表利用这一漏洞。ISC在建议中称,打补丁是唯一的选择。

负责该漏洞的事件经理,ISC 工程师Michael McNally 在博客中称:“通过防火墙筛选攻击包非常的困难,也几乎不可能做到,除非这些设备清楚协议级DNS,即便这样问题可能依然存在。”

McNally称,该漏洞在不安装补丁包的情况下很难防御。由于对该补丁包进行逆向工程,找出如何利用这一漏洞的办法并不困难(+关注网络世界),因此可能很快就会出现针对该漏洞的攻击代码。

他警告称:“一名专家告诉我,他们已经成功地通过泄露出来的信息和分析代码变化情况利用逆向工程制作出了攻击工具。尽管我深信这名专家无意以恶意方式使用他制作的工具,但是这并不代表其他人不会这样,并且这些人可能很快就会制作出自己的工具。”

安全公司Errata Security 的首席执行Robert Graham认为,问题并不仅仅在于这一漏洞,而是在于BIND 9的设计上,因为这已不是在该软件中首次发现关键拒绝服务漏洞了。

Graham 称:“它们最大的问题是功能太多了。它们试图向用户提供所有可能的DNS功能,然而面向公众的服务器并不需要很多功能。目前的这一漏洞就存在于很少使用的‘TKEY’功能中。面向公众的DNS服务器应当最大限度的减少功能,服务器引以为豪的众多功能应当被自动关闭。”

对于该漏洞的影响范围,Graham称,他可以在一个小时内通过由其自己开发,名为masscan的工具瘫痪掉互联网中所有面向公众的BIND 9服务器。他称:“BIND9不应当面向公众。它们存在代码问题,这在网络安全时代和当下是不可接受的。即便它们被编写的很完美,但是它们拥有太多的功这能使得它们无法被信赖。”

相关文章