2016年10月,黑客使用称为Mirai的恶意软件来创建由数十万个连接互联网的设备构成的僵尸网络。然后他们倡议了迄今为止最大的漫衍式拒绝处事(DDoS)打击 - 有时到达惊人的每秒1.2TB - 反抗一家名为Dyn的新罕布什尔州公司,此刻是Oracle公司的一部分。
在正常情况下,功效可能是Dyn的处事器无法访谒,而且该公司面向互联网的勾当将陷入搁浅。但Dyn不只仅是一家公司的网站卖力人。这是因为它为许多世界上最知名的网站供给托管DNS处事,包孕BBC,CNN,Comcast和Spotify。由于打击阻止了他们的DNS处事,这些网站在北美和欧洲的泛博地区变得暗中。
打击显示了旧口头禅的底细,即网络安适与安适链中最单薄的环节一样强大。在这种情况下,最单薄的环节是DNS系统,出格是受到DDoS打击影响的许多公司无法控制的部分。
要了解这个问题,让我们考虑DNS的事情道理。如果您想访谒,您的浏览器需要找到该特定Web处事器的IP地点。它首先要盘问系统的hosts文件,这是一个文本文件,此中包罗有效“硬编码”到该系统中的任何域名的IP地点。
如果该网址不在系统的主机文件中,并且几乎总是如此,那么您的浏览器将询问DNS处事器 - 您组织网络上的解析器,或者可能由其运营的外部大众解析器ISP,或Google或OpenDNS等组织。
简而言之,如果比来向解析器询问了该域名的IP地点,它将在其缓存中包罗该信息,并将直接供给该信息。但是如果它没有在缓存中 - 或者因为它之前从未被要求供给该信息,或者因为信息已“过期”并从缓存中删除 - 那么它会将请求引用到根处事器,可以报告解析器从哪里获取有关.com*域的信息。
然后它会询问处事器从哪里获取有关example.com的信息,然后转到称为权威处事器的处事器,该处事器将为其供给example.com域中任何处事器的IP地点(例如Web和电子邮件)处事器)。
该系统的问题在于,如果黑客能够找到一种要领让解析器呈报错误的IP地点,那么任何试图访谒一个网址的人都将被发送到一个虚假的地点,而没有任何明显的方法让用户检测到有什么不同错误劲。同样,电子邮件可能会通报到错误的目的地,依此类推。
底层问题是DNS处事器配置之一。“DNS处事器往往被遗忘,其默认配置不必然安适,”SANS研究所研究员兼安适总监Chris Brenton警告说。
在检察可以连结DNS安适的配置和其他变动之前,让我们看一下DNS可能受到风险的一些要领。
缓存中毒涉及将虚假信息放入作为域名系统一部分的处事器的缓存中。一种范例的要领是通过向信息请求发送带有欺骗源IP地点的虚假“答复”。如果伪造回复在真实响应来自所请求的处事器之前返回,则可以缓存虚假回复。
一旦缓存以这种方法被错误信息中毒,任何后续信息请求将用该错误信息回答,直到信息到期为止。因此,如果公司解析器中毒,本地用户将收到有毒信息。如果ISP的解析器或大众解析器中毒,其影响将越发广泛。
缓存会中毒多永劫间?DNS信息具有与之关联的保留时间(TTL) - 它在到期之前有效的时间量,并且需要从权威处事器再次检索。DNS信息的TTL可以由域名所有者指定,但正确的是一个很好的平衡行为。
如果将其设置为较长的连续时间,则域所有者所做的任何变动都需要很永劫间才华通过Internet流传,因为旧的,过时的信息将在到期前保存在解析措施缓存中很永劫间。但如果设置的时间很短,黑客所做的任何恶意变动城市更快地流传 - 因此更有可能在检测到恶意变动之前生效。
(理论上,设法毒化缓存的黑客可以将其恶意记录的TTL设置为数周或数月的连续时间,但大大都DNS软件具有最大TTL:BIND情况下为7天,或Microsoft DNS的24小时。)
破解DNS的更有效要领是变动权威名称处事器自己的信息。这可以通过粉碎处事器来完成,可能是通过操作处事器操纵系统中未修补的缝隙或DNS软件自己。一种更简单的要领是使用类似于2013年被称为叙利亚电子军(SEA)的黑客团伙使用的技术来转变纽约时报的记录,以便从互联网上下载。
以下是该技术的事情道理:名称处事器可以由组织在内部运行,也可以由域名注册商等级三方代表域名所有者运行。在任何一种情况下,它包罗的域名记录都需要时时变动或更新。为此,打点员需要登录并执行变动或更新。