| | 2008/07/31 | | | 風險等級: | 警戒狀態 | | | 摘 要: | DNS(Domain Name System) 網域名稱系統主要是用來解析網域名稱為IP 位址,日前,DNS 服務已被證實含有DNS 快取中毒(DNS cache poisoning) 的弱點,惡意人士可利用這些弱點,導致DNS 快取記錄遭竄改,使得用戶會被重導至惡意網站。弱點詳述如下: 第一:於DNS 傳送的封包中,第一個16-bits 位元組是用來記錄每個查詢封包的唯一識別值,該欄位稱為Query Identifier (簡稱QID),由於現行電腦運算速度而言,該欄位長度可能無法提供足夠的安全性,使得惡意人士可發送大量的DNS 查詢(query)封包,對某個特定的名稱伺服器(Name Server ,NS),查詢不存在的網域,然後再利用發送大量的DNS 回應(response)封包,當查詢及回應的QID 值吻合,即可欺騙該名稱伺服器,達成DNS cache poisoning 的目的。 第二:在DNS 的查詢封包中,除有表頭(header)及旗標(flag)外,尚包含資源記錄(Resource Record, RR),RR 中含有查詢(Question)、回應(Answer)、授權(Authority)及額外記錄(Additional Records)等四大部份,由於此四部份的長度是可變動的,使得惡意人士可自行架設並註冊惡意網域的伺服器,並在額外記錄部份加入惡意網域資訊,當使用者瀏覽的惡意網頁內容含有惡意網域時,便會被導向至惡意網站。 目前已知BIND 8 and 9 before 9.5.0-P1, 9.4.2-P1, and 9.3.5-P1 及Microsoft DNS in Windows 2000 SP4, XP SP2 and SP3, and Server 2003 SP1 and SP2 等版本皆會受到影響,且目前針對BIND 已出現攻擊程式碼,中華電信SOC 在此建議管理者,若有使用上述DNS 套件,應儘速前往產品官方網站,進行更新以避免受駭! 參考資料: |
|