到目前為止,只有不到0.02%的互聯網采用了DNSSEC協議,DNSSEC協議在頂級域名方面取得了進展,但一項新研究顯示,整體DNSSEC協議部署只占互聯網的一小部分,讓大部分企業都容易受到DNS緩存中毒攻擊。
根據Infoblox和測試服務公司收集的數據顯示,不到0.02%的DNS區域啟用了DNSSEC,而有96%因為DNSSEC簽名過期而沒有通過驗證。
DNS緩存中毒攻擊威脅在一年前由知名研究人員Dan Kaminsky發現,而DNSSEC協議被認為是抵御DNS緩存中毒攻擊的最佳防御。盡管Infoblox調查發現DNSSEC協議部署今年攀升了340%,但仍然有很長的路要走。
Infoblox公司架構副總裁同時也是DNS專家Cricket Liu表示,這次調查還首次研究了現有的DNSSEC 協議部署是否上升以及運行情況,“關于DNSSEC協議部署的奇怪的現象就是,我們看到數據持續上升,但都是從極小的數字到更小的比率,”Liu表示, “這是我們第一次檢查在這些DNSSEC協議區域驗證數據的能力,而幾乎有四分之一沒有通過驗證,因為簽名過期,這很令人失望。”
他表示,這些企業可能一直在將DNSSEC作為實驗,“這也就是說,加上一些工具,會讓DNSSEC協議變得很難運行,”他說道,“四分之一的區域過期說明,DNSSEC協議的重新簽名并不是自動的,大家設置好DNSSEC協議來進行實驗,然后就不聞不問了。”
與此同時,Kaminsky一直致力于讓DNSSEC協議部署更加簡單,他近日發布了一個免費的工具包,Phreebird Suite1.0,該工具包可以讓企業嘗試使用DNSSEC協議,同時也向他們證明這個協議并不難部署。Phreebird Suite 1.0是一個位于DNS服務器前面的實時DNSSEC代理服務器,并且對其響應進行數字簽名。
Infoblox調查還發現,在所有DNS域名服務器中,將近有75%的服務器位于單個授權區域,這樣容易出現單點故障,“這是很糟糕的事情,”Liu表示。如果路由基礎設施出現問題或者故障,那么將會失去互聯網業務。
一些網絡目前仍然缺乏的是DNSSEC協議需要的基本網絡配置。Liu表示:將近20%的域名不允許TCP查詢,而26.4%不支持DNS協議的擴展機制。
Infoblox建議企業為部署DNSSEC協議做好準備,升級到最新版本的BIND,使用端口隨機化,隔離內部和外部域名服務器,并且隔離授權DNS域名服務器和遞歸DNS域名服務器。
京公網安備 11010502049343號