|
中國IDC評述網06月17日報道:近幾個月以來�����,一些校園網的用戶和管理人員發(fā)現學校的DNS服務器陸續(xù)出現無法正常提供遞歸域名解析服務的情況,也有一些校園網發(fā)現一些知名的網站(如www.baidu.com,www.qq.com)域名解析出現奇怪的現象����,很多用戶和管理員面對這些現象仍然很困惑���。
域名系統的安全性一直是互聯網運行安全的關鍵之一�。在國際上���,DNSSec作為域名系統安全的一項重要措施��,近年來也出現了新的進展�����。這些新的技術是否可以解決我們校園網域名解析面臨的安全問題?看下面案例的分析:
Key1配置錯誤
錯誤的配置信息導致DNS服務器無法提供正常的服務����,DNS的配置是目前網絡服務中少有的幾個難理解的配置之一�����!
典型案例:
瑞典頂級域名.se故障
2009年10月12日晚瑞典頂級域名服務器出現故障,導致一百多萬使用.se結尾的域名無法正常解析��,一些地區(qū)直到48小時候才能正常解析.se域名
事件回放:
1.2009年10月12日瑞典頂級域名.se服務商的管理員象往常一樣使用腳本對域名服務器.se的zone文件進行更新���。
2.更新后發(fā)現所有.se的域名無法正常解析
3.管理迅速檢查原因,發(fā)現是因為腳本在編輯存盤時把原本應該有的.給不小心刪掉了,這個錯誤直接導致.se從根域名服務器數據中消失��。
4.雖然管理員迅速的對zone進行了修復,但是擴散出去的數據導致一些地區(qū)在48小時候才重新認為.se是有效域名。
事件分析:
1.DNS配置文件的復雜性����;
2.DNS缺乏一個有效的快速更新機制。
Key2軟件漏洞
DNS服務軟件本身存在安全漏洞,導致DNS無法正常提供服務�。
典型案例:
Bind9漏洞導致.com無法正常解析
2011年3月底����,我們陸續(xù)接到一些院校投訴其DNS解析服務存在故障,經常無法正常解析域名。最后查明是bind9軟件存在條件競爭漏洞導致的。
事件背景:
DNS安全擴展(DNSSEC)蜒是由IETF提供的一系列DNS安全認證的機制(可參考RFC2535),它利用數字簽名的技術來保證域名解析的權威性�,以保證域名不受中間人的攻擊或緩存污染。
Verisign公司——域名服務商,.com域名的實際維護者���,DNSSEC協議的發(fā)起人之一��。
Bind軟件——DNS服務程序�,目前網絡上使用最廣泛的DNS軟件,教育網的占有率在90%以上��。
事件回放:
1.ISC在Bind8.1.x版本后開始支持DNSSec����,并在Bind9版本后默認打開了DNSSec的查詢�,Bind9.6-ESVR3之前的版本在實現DNSSEC查詢的過程中存在一個條件競爭漏洞;
2.2011年3月下旬���,Verisign公司開始向13臺根域名服務器發(fā)布.com域名的DNSSEC數據�;
3.根域名服務器上的DS數據誘發(fā)了Bind軟件的漏洞�����,導致遞歸服務器的非DS請求有50%的幾率被根服務認為是無效請求而返回SERVFAIL應答����。這直接導致用戶端訪問.com的域名有一半的幾率會失���������;
4.3月31號,ISC發(fā)布安全公告�����,并更新了Bind9軟件���。
事件分析:
1.DNS軟件是否需要隨時更新?
2.DNS軟件更新機制�����。
本文出自:億恩科技【www.riomediacenter.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商����!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
