近日,美国ISC(Internet Systems Consortium) 紧急发布补丁,目的用于修补隐藏在DNS域名解析服务软件ISC BIND中的严重安全漏洞。该安全漏洞编号为CVE-2015-5477,能够允许远程、未经认证的攻击者使用BIND发送特殊的命令,导致DNS服务器崩溃。目前,所有BIND 9版本, 互联网上对应版本的递归服务器和权威服务器均受到该漏洞影响。CNVD对该漏洞的综合评级为“高危”。
BIND是目前部署在域名服务器中应用最广泛的开源软件之一。据悉,通过该漏洞,一名攻击者可以在一次行动中造成一片网络区域不正常,让运行BIND 的DNS服务器崩溃,让大量用户无法连接互联网。当多名攻击者同时行动时,就会导致足够多的DNS服务器出现崩溃,可能会造成今年最大规模的网络罢工。
此漏洞之所以能造成广泛影响,是因为BIND句柄的TKEY查询中出现了Bug,一个简单的UDP包就可以导致BIND服务器出现“assertion failure”错误,进而服务器上的DNS服务守护进程会结束。根据实际使用情况评估,尽管TKEY 查询功能使用较少,但由于基于漏洞构造的恶意攻击包有可能存在极强的前置条件,即使在服务器上配置访问控制列表或限制(拒绝)相关配置选项,也不能有效防范漏洞攻击。
DNS攻击日志
DNS是大多数互联网基础设施的关键点,破坏了DNS,意味着电子邮件服务、HTTP服务、以及其他许多服务都不可用。据知道创宇ZoomEye团队对全国DNS服务器进行摸底探测的调查数据显示,国内使用ISC BIND服务的有29913台,地域分布前五名分别是:北京 6446 台 (占我国使用ISC BIND 的服务器总数的21.55%) , 广东3684 台(占比12.3%),上海2712 台(占比9.07%),江苏 1955 台(占比6.54%),浙江1913台(占比6.40%)。
目前我国使用ISC BIND的网络服务提供商中,前三名分别是中国电信(占比42%)、中国联通(占比25%)和中国移动(占比8%),以上三家网络服务提供商的在我国拥有大量用户,一旦黑客发起大规模攻击,三大运营商服务器首当其冲将会引发连锁反应,对我国基础网络稳定产生较大的威胁,一旦遭受网络攻击将引发DNS服务异常,从而会导致大范围网络中断。
目前, 厂商已经发布了漏洞修补程序。知道创宇提醒用户尽早升级到BIND最新版本,并及时下载补丁更新,避免引发漏洞相关的网络安全事件。另外,通过接入知道创宇旗下重磅安全产品创宇盾,也可以保护用户不受此漏洞影响。
历史上重大DNS安全事件回顾
一、1·21中国互联网DNS大劫难
2014年1月21日下午3点10分左右,国内通用顶级域的根服务器忽然出现异常,导致众多知名网站出现DNS解析故障,用户无法正常访问。虽然国内访问根服务器很快恢复,但由于DNS缓存问题,部分地区用户“断网”现象仍持续了数个小时,至少有2/3的国内网站受到影响。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况。
二、百度:baidu.com域名被劫持
2010年1月12日上午,百度被自称是伊朗网军(Iranian Cyber Army)的黑客组织入侵,域名baidu.com的WHOIS传输协议被无故更改,权威DNS服务器被更换至雅虎属下的两个域名服务器,www.baidu.com指向到海外的一个服务器。该故障导致网民无法正常登陆百度网站达8小时之久,是百度成立以来最严重的服务器故障事件,给造成百度直接损失超过700万元人民币。
三、新浪:DNS服务器出现域名无法解析故障
2012年1月30日,正值春节之后的工作日,新浪网却惨遭访问故障,部分地区出现无法访问的情况,联通用户影响尤为严重。根据新浪官方声明,正是因为DNS服务器出现域名无法解析故障所致。该次故障持续时间较短,但鉴于新浪在国内的影响力,所以本次事件不得不提。
四、某知名CDN服务商:DNS故障致多家知名网站断线时间超一小时
2013年1月27日,某知名CDN服务商DNS故障导致不少大客户断线时间超过一小时,包括163、腾讯、凤凰网、百度、多玩、m1905、乐视网以及12306在内的知名网站在部分地区的访问受到影响。官方称是技术升级中一模块故障导致,但有消息指出,真正的原因是系统故障,因公司年会无人监控导致应急处理速度降低。
五、CN域名:“遭攻击”致大面积瘫痪
2013年8月25日,.cn域名解析节点受到拒绝服务攻击,受到影响的包括新浪微博客户端及一些.cn网站。根据DNSPod的监控显示,CN的根域授权DNS全线故障,所有CN域名均无法解析。
