Infoworld 报道,著名黑客HD Moore已经率先公布了可用代码.利用这段代码可以对DNS服务器进行投毒,将一条恶意纪录植入目标服务器,该服务器将随机发起域名查询,此时攻击者可以提供伪造的响应,将域名服务器中的纪录指向其特定站点.这个漏洞攻击可以默默的改变用户的升级服务下载恶意软件,IOActive研究者Dan Kaminsky很早发现漏洞并且无意中这周公布了漏洞使得开发出攻击代码.infoworld.com网站也提醒了这个攻击导致的网络钓鱼欺骗的问题.
通过这个网址http://metasploit.com/dev/trac/changeset/5579可以看到国外黑客发布的DNS漏洞攻击代码。
基于目前互联网爆出的DNS漏洞问题,ICANN近日批准了一项符合公众利益的重要决定,.org域名将首先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名.
DNS自身的缺陷最早被发现于1990年,但是一直没有相关的问题解决方法,最新的“cache投毒”方法据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的.
DNSSEC 发展于1997年1月,开发周期长达11年,DNS安全扩展(DNSSEC)协议创建的目的是为了解决原DNS协议中的漏洞,使之不再 容易遭受攻击。不过因为DNSSEC会产生额外的数据开销而得不到普及。根据早期的协定,如果要使用DNSSEC,必须将之覆盖整个互联网。而且,有关隐 私和法律方面的疑虑涌现出来,使之无法获得普及。
不过,.org域名实际上并不是最需要考虑到域名,但是鉴于一些国家已经拥有了自己的顶级域名,这不是ICANN所能控制的,可以简单而 快速从 DNS转移到DNSSEC的顶级域名目前只有.org。不过如果ICANN可以控制全面的互联网访问权限,那么全部域名转移也不是不可能。至于ICANN 和美国政府是否可以值得信任,则是另外一个问题。
从.org域名的转移我们可以看到,尽管步伐缓慢,不过DNS将最终转移到DNSSEC上。
尽管 Dan Kaminsky 努力掩盖他所发现的 DNS 严重漏洞的细节,Matasano 安全公司的一个员工还是在他的博客上泄露了这些资料,虽然文章被立即删除,但已经有人拿到了这些资料,并发表在别的地方。Kaminsky 在他的博客上发表了一个紧急消息,赶快打补丁,别睡觉,使用 OpenDNS…
HD Moore,Metasploit 的作者说,黑客们正在加紧制作攻击工具,今天的晚些时候会有攻击出现。本月初,IOActive 的 Kaminsky 公布了 DNS 系统的一个非常严重的漏洞,该漏洞会导致攻击者轻松地伪造任何网站,银行网站,Google,Gmail 以及其它 Web 邮件网站。
Kaminsky 是在同多个 DNS 系统商共同开发安全补丁的时候发现了这个漏洞。Kaminsky 在记者会宣布了这个由多家厂商共同开发的 DNS 补丁,并呼吁 DNS 服务器所有者立即更新他们的系统。
但 Kaminsky 在宣布这个漏洞的时候,没有透露相关技术细节,以便 DNS 系统管理员知道其严重性,Kaminsky 承诺会在下月的 Las Vegas 黑帽安全大会上透露漏洞细节,在这之前,他给 DNS 系统管理员预留了一个月的时间升级系统。Kaminsky 同时恳求那些安全专家不要试图猜测漏洞的细节,但很多人将他的恳求当作一个挑战。
德国的安全专家 Halvar Flake 最先发表了漏洞细节,Kaminsky 曾被要求私下里公布细节,帮助那些系统管理员升级系统,同时,一些系统管理员以及安全专家指责 Kaminsky 是在拿那些过去的众所周知的 DNS 漏洞炒作。
Matasano 的创始人Thomas Ptacek [...]
“.中国”域名将启用极大的调动了2亿中国网民的互联网归属感和认同感.
近日,ICANN理事会通过一项重要决议,允许使用其他语言包括中文等作为互联网顶级域字符,“.中国”将于2009年写入全球根域名系统,成为首批新设的非拉丁语系字符顶级域之一.最新调查显示,高达79.24%的网民会选择注册“.中国”域名.而有业内人士却指出,近八成网民欲注册“.中国”域名对广大企业来说并不是好事.
●中国域名有利品牌文化传播 八成网民欲注册
这意味着,届时全球华人在浏览器地址栏不仅可以通过输入英文域名lenovo.com.cn,还将可以通过直接输入中国域名“联想.中国”在互联网上访问联想公司的网站.
网友冯健表示,中国网民这么多,完全可以借此机会向世界推广中国的文学、语言,意义深远;现在我们都是用英文输入,也应该让外国人来学学汉语,以后让世界也流行中文域名.
“外国人用外文域名,中国人用中文域名,不是很好吗?”一位腾讯威海网友如是表示.显然,中国域名将启用在网民中获得了巨大的认同,这在一项调查中得到充分证实.网易的最新调查显示,高达79.24%的网民会选择注册“.中国”域名.
●专家提醒:企业应及早行动 防范品牌遭遇“强娶”
近八成网民欲注册中国域名对广大企业来说并不是好事.
网络法律学者张樊指出,一个新域名后缀启用之后必然带来注册剧增问题.据了解,欧洲联盟的顶级代码“.eu”在向欧盟居民开放注册后,就吸引了大批民众集中注册.据欧盟委员会统计,在注册开放后100分钟内注册人数高达30万,仅当天便有数十万个人用户提交了注册申请.
张樊认为,“.中国”域名的类似情况可能会更突出,因为它允许将更多的中文商标直接注册成域名.据介绍,对于国内企业来说,绝大部分企业商标用的是中文,过去由于无法直接将其商标注册成域名,极大阻碍了企业品牌在互联网上的传播.
如今,中国域名的启用将给企事业单位的网络品牌传播带来一种全新的体验.相比之下,更多国人能够记住的是企事业单位的中文品牌,而非英文商标.如在十三亿国人中,“海信”的知名度要比“Hisense”高得多.
由于“.中国”域名与“.com”、“.cn”结尾的域名一样,遵循“先注先得”的国际惯例,因此同样具有稀缺性与唯一性的特点.网舟咨询总经理翟文军表示,具有唯一性的域名存在着被他人或竞争对手提前注册的可能性,从而产生企业网络资源和品牌边缘化,因此企业要提高域名品牌意识,加强自身资源保护.
《北京晨报》消息
计算机行业巨头正在忙于修复互联网基础中的一个安全漏洞。这个安全漏洞能够让黑客控制互联网通信。
主要软件和硬件厂商几个月来一直在秘密研制本周二发布的这个软件“补丁”以修复这个漏洞。这个安全漏洞存在于计算机被路由到网页地址的方式中。Securosis公司分析师Rich Mogul在媒体电话会议上说,这是整个互联网地址解析方案工作方式的一个非常基本的问题。你拥有这个互联网,但是,它不是你预期的那样的互联网。黑客会控制一切。
这个安全漏洞可能导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗人们泄漏自己的账户号码、口令和其它信息。黑客还能够利用这个安全漏洞把用户引导到他要用户访问的网页,无论用户在网络浏览器上输入什么地址。
IOActive公司的安全研究人员Dan Kaminsky在6个月前发现了这个域名系统安全漏洞,并且立即联系微软、Sun和思科等行业巨头合作制定一个解决方案。
Kaminsky说,人们应该担心这个问题。但是,他们不必恐慌。我们已经给你许多时间测试和使用这个补丁。以前还从来没有这种规模的修复安全漏洞的事情。
Kaminsky建立了一个网页,网址是http://www.doxpara.com/。人们可以在那里查看自己的计算机是否存DNS安全漏洞。
IPv6是Internet Protocol Version 6的缩写,其中Internet Protocol译为“互联网协议”
ICANN/IANA将在2008年2月4日为服务于IPv6地址的4个根服务器添加AAAA记录.这意味着2月4日以后,两组独立的IPv6主机将开始服务于全世界而无需依赖任何IPv4的基础设施.IPv6离我们已经越来越近了。
我转载的评价:
本书是介绍bind和dns的权威书籍,由于市面上介绍bind和dns的书比较少,所以本书的
份量也就更重了。本书从dns的基本概念到dns的实现程序bind都作了详细的介绍。如果
你是dns的维护人员,应该通读这本书。如果你想了解一下dns的概念和bind程序的基本
应用,这本书也提供的大量的相关知识。不同层次的人员可根据自已的实际情况选读相关章
节。由于我应用dns只是在局域网内做一下名字解析,应用较浅,所以我只挑了个别章节看
了一下,没有深入dns的高级部份,所以读书笔记也就只包含这部分的内容了。
第一章 背景
dns是针对ARPnet的特殊问题发展起来的,在整个20世纪70年代,ARPnet还是一个
有几百台主机的很小很友好的网络。仅仅需要一个名为HOSTS.TXT的文件就能容纳所有需
要了解的主机信息。该文件由SRI(Stanford Research Institute的前身)的网络信息中心
(Network Information Center NIC)负责维护,并从一台主机SRI-NIC上分发到整个网络。
ARPnet的管理员通常定期通过电子邮件的方式将他们的变更通知SRI,同时还定期ftp到
sri-nic,以获取最新的HOSTS文件。但随着ARPnet的增长,这种方法行不通了。流量和负
载使SRI的线路不堪重负;名字冲突,造成网络混乱;在不断扩张的网络上要维护文件的
一致性变得越来越难。关键问题是HOSTS文件的结构不是很好,最终导至了hosts文件的
失败和落伍。
ARPnet的管理者们开始投入研究,为HOSTS.TXT文件寻求继任者。Paul Mockapetris,
当时在南加州大学的信息科学所,负责设计新系统的体系架构。1984年,他发布了描述DNS
的RFC882和RFC883。后来它们被RFC1034和RFC1035所取代,也就是目前的DNS规范。
目前,还有很其它RFC补充RFC1034和RFC1035的内容,它们描述了DNS的安全问题,
实现问题,管理问题等。
DNS 简述
实际上,DNS是一个分布式数据库,它允许对整个数据库的各个部份进行本地控制;同时
整个网络也能通过客户-服务器方式访问每个部份的数据。借助备份和缓存机制,DNS将具
有强壮性和足够的性能。DNS的数据库结构同unix文件系统的结构非常相似,就像一棵倒
着的树。
第二章 DNS是如何工作的
介绍了DNS的工作原理,一些功能和名词。
第三章 如何开始工作
获是bind软件
选择一个域名
第四章 建立BIND
建立区数据,包括正向解析文件(名字到地址的映射),反向解析文件(地址到名字的映射)。
每个网络都有包含它自已的反向映射数据文件。名字服务器用named.conf配置文件把所有
的区数据文件绑定在一起。
区数据文件
区数据文件中的大部份条目被称为DNS资源记录。DNS查找是不区分大小写的,但大写是
被系统保留的,建议用小写。资源记录必须从一行的第一列开始。在DNS RFC中,表示资
源的记录是按特定顺序排列的,但这不是必须的。顺序如下:
SOA记录 指示该区的权威
NS记录 列出该区的一个名字服务器
A 名字到地址的映射
PTR 地址到名字的映射
CNAME 规范名字(相对于别名而言)
注释是以“;”号开始的
设置区默认的TTL值。
在8.2版本前,SOA记录中最后一个字段设置区默认的TTL值。在8.2版出来前,公布了
RFC2308,将SOA记录中最后一个字段的含义改为了“否定缓存TTL”,它的意思是一个远
程名字服务器能将区的否定响应缓存多长时间,否定响应是报告某个域名或某个域名的某个
数据类型不存。8.2版及后继版中用$TTL控制语句。名字服务器在查询响应中提供这个值,
允许其它服务器将数据在缓存中存放TTL所指定的时间。如果数据不是经常变动的,可以
考虑把它的值设为几天,1周大概是使之有意义的最大值。1小时会引起不必要的DNS流量。
如:$TTL 3h
SOA记录
表示对于该区数据而言,这个名字服务器是最好的信息来源。根据这个SOA记录,我们的
名字服务器就享有对该区的权威。
movie.edu IN SOA terminator.movie.edu. al.robocop.movie.edu. (
1 ;序列号
3h ;3小时后刷新
1h ;1小时后重试
1w ;1周后期满
1h) ;否定缓存TTL为1小时
IN 代表Internet类
terminator.movie.edu. 代表主名字服务器
al.robocop.movie.edu. 把第一个点号换成@,代表邮件地址,对电脑没意义,只对人有意义
在反解文件的头几行也添加类似的SOA记录。在这些文件中把movie.edu改为
249.249.192.in-addr.arpa
NS记录
在文件中添加的下一条记录是NS记录。这些记录表明区movie.edu有两个名字服务器。这
些名字服务器运行在主机terminator.movie.edu and wormhole.movie.edu上。
movie.edu IN NS terminator.movie.edu
movie.edu IN NS wormhole.movie.edu
同SOA记录一样,也在反解文件中添加记录
地址和别名记录
接下来创建名字到地址的映射
;主机地址
localhost.movie.edu. IN A 127.0.0.1
robocop.movie.edu. IN A 192.249.249.2
terminator.movie.edu. IN A 192.249.249.3
misery.movie.edu. IN A 192.249.253.2
;
;多宿主主机
wormhole.movie.edu. IN [...]
Sina、sohu、tom、163、baidu、google域名服务器测评
BlogoSquare