尽管此类特殊问题于近期才被曝光,但业内的专家以及CIO(Chief Information Officer ,首席信息官)数年以来就深知DNS(域名系统)是网络安全的最薄弱环境,并极力采取多种措施进行补救,避免出现重大问题。
上周,据CERT(Computer Emergency Response Team,计算机紧急事件快速反应小组 )透露,在BIND(Berkeley网络域名)系统的两个版本中,存在4个可被利用的漏洞,该开源软件运行在80%的互联网域名服务器中。BIND中的某些漏洞可以被远端用户控制并将任意域名指向到特定地址去。
而技术人员担心的问题在近期终于发生了。在NAI(Network Associates Inc,美国网络联盟)发表关于BIND系统漏洞的咨询报告的两天后,一个匿名黑客在BugTraq邮件列表上提交了如何利用缓存溢出漏洞的代码例程。
NAI的官员证实该公司在上周三确实遭受了一次短暂的DoS(denial-of-service,拒绝服务)攻击。但他说该公司服务器并没有完全当机,并在90分钟后恢复正常状态。
CoreTech顾问公司的安全专家Sean Swift指出,BIND系统提供name look-up(域名查找)的开放性决定了该系统无法完全避免此类的攻击,DNS系统的安全性是相当脆弱的,该系统内部的一个问题会导致许多无法预知的结果。
达拉斯Ed快递公司的CIO兼CTO Kevin Dunn在上个月就曾发现这方面的问题。在一次重要的广告宣传活动期间,Dunn发觉该公司网站的访问量突然为零,经过调查后才知道该快递公司的域名被错误地指向到其它公司网站地址。
该错误修正花费了三天的时间,而在这期间的广告宣传自然也就白白浪费了,该公司失去的宝贵的时间和大量的金钱。
在两周前,网络访问者发现属于微软公司的大部分站点在几天内多次从互联网上消失。微软公司最初把该问题归因于其雇员在工作中对域名设备进行了错误的配置。但稍后微软公司承认问题的原因在于该公司的一台服务器成为DoS攻击的牺牲品。
微软公司自此雇佣Akamai科技公司来维护该公司放置在多个地点的备份域名服务器。
安全专家同时也透露了一个好消息,那就是大多数黑客认为域名系统攻击是相当容易的--但同时也是非常危险的,因为作案者较易被追踪。
网络安全系统公司X-force 研究小组的一位成员 Dan Ingevaldson称,BIND系统一贯成为黑客攻击的目标,这一点在以后也不会改变。BIND系统安全的攻防战发生在网络安全部门和黑客之间,黑客不断地开发各种工具来利用寻找出来的漏洞,这种情况已经演化为一次激烈的赛跑。
|