DNS缓存中毒漏洞风险加大 攻击工具已曝光

　　两个星期前，安全研究人员Dan Kaminsky与美国计算机应急事件反应小组联合发布了DNS系统中的一个严重的安全漏洞。这个安全漏洞有可能造成互联网的许多部分瘫痪。Kaminsky在披露这个消息的时候拒绝提供这个安全漏洞的细节，希望DNS用户能够有30天的时间修复他们的服务器。随着这个漏洞的曝光，这些用户只有13天的时间。

　　Kaminsky在7月24日进行的黑帽会议网络直播中承认，现在发现了一起利用这个DNS安全漏洞实施的正规的攻击。这个攻击方法是采用Metasploit Framework框架编写的，目前以模块的方式提供。简单地使用鼠标就能够操作。因此，脚本小子更容易利用这个工具实施攻击。

　　由于这种攻击还没有得到控制，数百万台还没有使用补丁修复这个安全漏洞的递归DNS服务器可能有受到这种缓存中毒攻击的风险。

　　Kaminsky说，谁泄露了利用这个安全漏洞的代码并不重要。我们的网络遇到了实际的威胁。这是一个大问题。我不在意谁在什么时候说了什么。这个事情现在不重要。重要的是人们现在需要补丁。我们遇到了许多困难。这种攻击正在获得武器。

　　Kaminsky承认，他提出让安全研究人员不要制作利用这个安全漏洞的代码是无理的要求。他对大多数安全团体尊重他的要求表示感谢。

　　至于有多少人能够修复这个安全漏洞，Kaminsky提出了自己的看法。根据Kaminsky在7月8日发布的一个工具统计的数据，当第一个DNS服务器补丁发布之后，86%的访问他的网站的人都有这个安全漏洞。截止到7月24日，这个数字下降到了52%。Kaminsky说，52%的数字并不完美。这个数字还不够好。但是，我们必须要努力。

　　没有活跃的利用安全漏洞的代码

　　Kaminsky指出，有些机构可能拒绝修复它们的DNS服务器，因为没有活跃的利用安全漏洞的代码以及Kaminsky没有披露这个安全漏洞的细节。这个借口是不存在的，因为这个代码在7月24日已经出现在Metasploit工具中了。Metasploit是一个免费的工具，允许研究人员插入一些模块通过一个简单的界面执行攻击。

　　此外，并非所有类型的DNS服务器都有风险。Kaminsky披露的安全漏洞仅影响到提供域名查询信息的递归DNS服务器。在VeriSign公司和GoDaddy等大型域名提供商提供核心DNS基础设施的授权DNS服务器从来都没有风险。

　　微软、ISC BIND和思科等多家厂商已经提供了修复这个DNS安全漏洞的补丁。但是，这些补丁还不是Kaminsky发现的这个安全漏洞的最中的解决方案。Kaminsky承认，域名系统安全扩展(DNSSEC)是这个问题的最终解决方案。DNSSEC向DNS提供额外的安全扩展以保证可靠性。

　　ISC高级编程经理Joao Damas在这次网络直播会议上说，能够对这个安全漏洞提供全面安全保护的是DNSSEC。用户应该首先使用补丁。但是，在使用了补丁之后确实需要向DNSSEC施加压力，让它解决问题。