dns是域名系统。 这是一个尿苷二磷酸和tcp为本议定书听命于港口53 。 tcp连接,是一种普遍使用的地带转移。
dns的比赛ip地址主机(和主机ip地址) 。 1 dns服务器负责,或有权威的,为某一特定部分的域名系统(例如, mybitofthenet.com ) 。
客户提出请求的域名服务器上,当他们想沟通系统,而他们都只有完全合格的主机名(例如, myserver.mybitofthenet.com ) 。
该域名系统的一个关键部分是网络基础设施。 它的失败-无论是通过行政无能或拒绝服务-可以产生重大的后果。
|
|
dns协议有安全问题。 详细说明了域名系统及其议定书的弱点,可在http://www.geocities.com/compsec101/papers/dnssec/dnssec.html 。 dns是界定在一些rfcs -见http://www.dns.net/dnsrd/rfc/为全部细节。
据unix主机安全俗语来说,使用最广泛的域名系统服务器软件是约束(伯克利因特网名称守护程序) ,由互联网软件联盟(国际科学委员会) 。 默认情况下,约束守护" ,命名为"长根特权和影响-这是很重要的-它没有永久扔他们出去后,结合港口5 3。 因此,脆弱性,在约束,可以产生一个完整的体系妥协。
让我们看看在这条赛道的纪录约束。
8.2.3释放被释放,在2001年1月确定的四个安全漏洞发现的秘密实验室( pgp的安全性) ,并在第穆斯马拉。 两个缓冲区溢出允许远程攻击者运行任意代码自己的选择。 输入确认错误能让攻击者运行任意代码,并收到一份资料泄漏,使数据在堆栈被认为是由攻击者。 这最后一个可能似乎没有那么差。 毕竟,它不是一个直接根系妥协,在等待中,但它实际上是协助开发的功勋,对某一特定地点。 堆栈持有局部变量,环境变量,以及重要的过程地址。 通过获取这些,缓冲溢出,可以这样写:未经审判和差错。 这点非常重要,因为缓冲溢出往往以一杆攻击-如果你得到它,甚至略有错误,你很可能当机服务,由涂鸦都超过栈数据后来所依据的程序。
结合了12个安全通告,从证书,在短短四年内-难以赞同约束安全!
一个主要的因素是复杂的约束代码。 有经验的c程序员评论说,约束代码是令人难以置信很难理解。 当完成了程序员的奋斗理解是怎么回事,你可以肯定的安全问题。 复杂的代码是很难与审计模块化设计工作最好的,其中小,离散节目(即容易审计)履行特权运作。 当然,国际科学委员会开发商没有列出来写的东西,甚至他们会发现难以维持-难,是由于特征膨胀。 也许这其中的原因的国际科学委员会最近改写主要部件的约束。
2001年1月,国际科学委员会日前发布的一项重大的新版本捆版本9.1.0 。 这个版本包括支持原作者-协议扩展克服某些安全设计弱点,因此在股票市场d ns协议(原作者是定义在r fc2 535) 。值得注意的是,代码是不是模块化的,所以现在我们有新的代码,这仍然是硬审计。 许多网站很可能会继续运行约束8 ,至少在短期内如此。
原来,攻击者想打入约束服务器,以致无利率未打补丁的约束服务器作为头号安全问题,在互联网上。 功勋约束比比皆是。 域名服务器是好吃的目标,是因为这么多的互联网依赖。 与控制苦于服务器,你可以这样做,真正讨厌的东西,例如:
•剥夺一个站点的交通,通过改变叶/姓名映象到一个不存在的地址。 更糟的是,你可以重定向交通到一个色情或竞争对手的网站。 收入损失和不良的新闻,不利于该公司的股票价格。
-克隆一个电子商贸网站,修改网站的域名系统服务器来地图,你i mposter站点,并收集信用卡资料,用户帐号和密码的细节。
•利用信托关系,系统通过映射一个ip从一方的信任关系到您的电脑上。
•妥协的根源之一域名服务器。
这最后一项是特别令人忧虑。 根域名服务器是起点,为解决在互联网上。 目前只有13个根域名服务器,在总(因为议定书限制) 。 接管根域名服务器,你可以在互联网上你的手。 作为旁白,在选择平台和操作系统,这些机器如下安全的原则,通过多元化。 引述从2000年就icann的(互联网公司的姓名和号码分配) ,网址为:
根服务器都使用了一些变异的操作系统,但无论是硬件基础和vendors'unix变种比较多样:对13个根服务器中,有7个不同的硬件平台上运行8条不同的操作系统版本,从5个不同厂商。
这是一个良好的理念用在性质上是由大自然自己。 当然,如果坏了,如果你没有足够多样的管理者手上,以安全管理8个不同的操作系统。
除了安全漏洞,配置不当是常见的。 当门外汉,你的网站,骇客将要求区转移,从你的领域名称伺服器。 这基本上是一个转储的所有资料,同某一具体的dns区。 这不啻为一个网络地图! 你不想要这个。
另一种配置版本号(再次) 。 发现该版本的约束你运行的,客户可以查询你的域名系统服务器,你的服务器会告诉他们。 这是不是那么好。
其他主要的风险面临dns协议,并具结执行是否定的ser副攻击。 无数的dos漏洞被发现有约束力。 致残域名服务器上阻止dns的疑问没有得到解决,从而阻止客户依赖于域名系统解决服务(也就是说,几乎每个人)在其轨道上。
显而易见的对策是要找到一条可供选择的运行约束。 在这里你的选择是有限的,我们生活在一个约束趋于单一。 你可以切换到微软的域名系统的执行(这不是一项建议书) ,或者寻找一个dns服务器安全的实施是一个主要目标。
唯一可行的办法,我知道的是缺少一套由丹尼尔伯恩斯坦。 这已经有足够的生产使用是一个严重的竞争者约束。 它的目的和书面的安全意识,由经验丰富的程序员在写安全的代码。 你可以找到更多这里: http://cr.yp.to/djbdns.html 。
如果你坚持与约束,有一些东西,你可以做。 一个有用的总结问题及对策,可从http://www.acmebw.com/papers/securing.pdf 。 你至少应当认真考虑以下
-请不要运行约束作为根。 反之,创造一个新的用户和群组。 这些具体作为命令行选项,当你执行约束。
•使用的chroot指挥运行约束,所以它限制了访问文件。 有关的chroot程序,使您能够指定目录的过程,将视其根目录(执行内核) 。 要做到这一点,虽然,你需要创造一个迷你重复你的操作系统,因为约束将不再能够看到重要的系统库和配置文件。 充分指令可以在这里找到: http://www.etherboy.com/dns/chrootdns.html 。
•版本号码是硬编码在约束代码,所以如果你有个源代码,你可以简单地加以清除或取代它的一个假版本或无聊的讯息(乐趣) 。 否则,你需要修补程序二进制可执行-好运! 最近版本的约束,可配置,使版本要求,从具体地址只。
•配置约束不让地带转移的除外授权服务器(如dns奴隶) 。
|
|