漏洞描述:
2008年7月9日以来,思科、微软、ISC等互联网域名解析服务软件厂商纷纷发布了安全公告,称其DNS软件存在高危漏洞,攻击者可以通过猜测DNS解析过程中的报文序列号来伪造DNS权威服务器的应答,从而达到“污染”高速缓存(Cache)中的记录的目的,即将错误的域名指向信息注入DNS服务器,最终导致受到污染的DNS服务器将对外提供错误的解析结果。该种攻击方式可造成域名劫持攻击,使得公众在不知情的情况下通过域名访问到黑客指定的网站,面临网络钓鱼和网页木马等一系列严重的安全威胁。
7月22日,针对该漏洞的探测程序被发布,7月23日,针对该漏洞的完整攻击程序被发布,并随后广泛流传。我中心经过初步测试后发现,在带宽良好情况下,该攻击程序对存在漏洞的DNS服务器只需数分钟就可完成攻击,受攻击目标会瞬时接到大量攻击报文,容易被误判为“query flood”方式的拒绝服务攻击。
鉴于该安全事件形势严峻且发展迅速,为确保我国互联网的运行安全,请各相关单位迅速采取适当措施,对所运行的DNS服务器进行必要的安全加固,并加强异常监测和处置。
建议措施:
1、根据相应厂商提供的补丁升级DNS服务器系统;
2、因在攻击过程中会短时出现大量伪造的域名解析响应数据包,呈现拒绝服务攻击特点,这些数据包的源IP、目的IP、解析的IP地址相同,但序列号不同,可据此在有条件的防护设备(如智能防火墙、流量清洗设备等)上配置相应的规则加以屏蔽或过滤;
3、定期清理DNS缓存或在发现异常访问后清理缓存。