|
|
|
 |
|
開放的DNS服務器正在毒害互聯網
|
|
來源:安全中國 2007-12-14 11:45:39
|
|
Google和喬治亞州技術學會的研究人員正在研究一種幾乎不可檢測的攻擊形式,這種攻擊能夠控制受害人訪問互聯網時所去的地方。這項將于來年二月份發布 的研究,密切地關注了“開放式回歸”DNS服務器。DNS服務器通過將google.com等域名翻譯成數字的IP協議地址(即IP地址),告訴計算機如 何查找互聯網上的其它計算機。犯罪份子正使用這些服務器,并結合新的攻擊技術發動新一代的釣魚攻擊。 研究人員估計,互聯網上有1700萬種開放式回歸DNS服務器,其中的極大多數都能給出精確的信息。不像其它的DNS服務器,開放式回歸系統會回答來自互聯網上的任何計算機的所有DNS輪詢請求,這個特性對黑客特別有用。 研究人員估算,有0.4%(約68000臺)的開放式回歸DNS服務器正在作惡,將虛假的回答返回給DNS請求。他們還估計還有2%的這種服務器提供可疑的結果。研究人員警告說,這些服務器結合在一起,開始形成一種DNS的“二級秘密權威”,它破壞著互聯網的可信賴性。 這項調查的論文合著者之一David Dagon說,“這是一種鮮有人發現的犯罪,不管你問這些主機什么,他們都會高興地將你導向到一個危險地方,或者一個充斥著各種廣告的Web服務器上。” 對DNS系統的攻擊并不新鮮,Dagon說,在線的攻擊改變受害人計算機上的DNS設置至少有四年之久,不過只是近來作惡者才以一種更普遍的方式發動這種特別的攻擊。最初這種攻擊使用計算機病毒進行改變,近來攻擊者們已經依賴于基于Web的惡意軟件。 這里說說這種攻擊是如何進行的。一個受害人有可能訪問一個Web站點或打開一個惡意的電子郵件附件,這會利用用戶計算機上某個軟件的一個漏洞。然后攻擊者們會改變Windows注冊表設置中的一個文件,告訴PC轉到罪犯的服務器上查找所有的DNS信息。如果最初的漏洞利用代碼沒有被反病毒軟件阻止,這種攻擊會將對用戶計算機的控制權交給攻擊者,這幾乎無法檢測。 一旦他們改變了Windows設置,犯罪份子會在多數時間將受害人帶到正確的Web站點,不過在他們需要時,特別是在一次銀行業務操作過程中,他們會突然將用戶引向釣魚站點。因為這種攻擊發生在DNS級別,所以反釣魚軟件無法識別騙人的站點。 Dagon說,或許一位攻擊者只是完全控制受害人的互聯網經歷。“如果你查看Christian Science Reading Room站點,他們會將你指向某個毛皮珍品站點上。” IBM的互聯網安全系統分部(Internet Security System)首席技術長官Chris Rouland說,“這簡直是一個最大的后門。” Rouland認為在未來的幾個月中,會看到從WEB2.0站點發動的更多的DNS攻擊,因為它們使得人們能夠從許多不同的源輕而易舉地“搗碎”Web網頁,其中有些源是不可信任的。他說,“這是真正的下一代釣魚。” Dagon的 初步研究顯示,Web是這些攻擊的一個重要媒介。研究人員利用谷歌的網絡瀏覽工具發現了2100多個網頁能夠利用漏洞來改變訪問者的Windows注冊表。 研究人員的論文稱為《Corrupted DNS Resolution Paths》,將在圣地亞哥的網絡和分布式系統安全討論會(Network and Distributed System Security Symposium (NDSS))上發布。它由來自喬治亞州技術學會的Chris Lee和 Wenke Lee,以及來自谷歌的高級工程師Niels Provos合著。 去年,Dagon 和Wenke Lee發起成立了Damballa,他們正開發防護這種攻擊的方法。 Damballa將自己定為一個反僵尸網絡設備廠商,能夠通過跟蹤機器是否與已知的惡意DNS服務器通信,從而識別被損害的計算機。 |
