要运行DNS安全扩展应答器?先确保它不会助攻黑帽
来源:互联网 发布:淘宝那家卖打bb弹的枪 编辑:程序博客网 时间:2024/04/28 19:05
系统可能会放大攻击
系统管理员在配置和管理DNS安全拓展上犯错,使得原本安全的系统在DNS反射攻击中被利用。
这是Neustar发布的研究中的结论,研究发现,经受测试的超过1300个被DNS安全扩展保护的域名中,80%在攻击中能被利用。
问题域名被DNS安全拓展展开,并回应DNS“任意”查询。“任意”请求要求应答器提供关于域名的所有信息,包括MX(邮件服务器)记录,IP地址等等。因此一个任意请求报告了比一个简单的域名地址请求更多的内容。
总之,DNS安全扩展的响应更大。正如Neustar的报告中所说,“有数字散列签名和复杂的密钥交换,DNS安全扩展记录在很大程度上比标准DNS更大!”。
Neustar计算,一般低配置的DNS安全拓展服务器能够增加28.9倍攻击者的通信量;他们能让一个80个字节的查询有2313个对象;他们从被保护的服务器中得到的最大的对象有17377个字节,是查询尺寸的217倍。
这次试验用递归服务器管理,这不在Neustar的控制范围内。
倘若域名不但是一个拒绝服务变量,而且要用查询交换DNS,公司称这种攻击会耗尽他们的成本。
不幸的是,所有这些并非一个程序漏洞,而是一种功能:甚至对于DNS安全拓展来说,系统的目的是回答查询——所以这不是应用补丁的问题,这是保护系统的问题。
总体而言,对于运算符最好的建议是滤出任意请求,并且将滥用检测机制放置到位。
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57ba895192d0ce1f0bc2a50b.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
0 0
- 要运行DNS安全扩展应答器?先确保它不会助攻黑帽
- 确保测试代码不会在发布版上运行
- 学习它先要理解它
- 【内含福利】黑科技神助攻,白娘子玩转云栖大会
- DNS安全认证的机制之DNSSEC(DNS安全扩展)
- 确保屏幕不会自动关闭
- 黑玛瑙不会流泪
- 确保 Web Service 安全
- ofbiz 确保部署安全
- 百度被黑损失700万,你的DNS服务器安全吗?
- DNS安全
- 使用线程安全的 MSWeakTimer ,它不会对目标进行retain操作,避免循环引用
- 使您的软件运行起来: 确保软件是安全的
- 使用lock确保线程安全
- 使用lock确保线程安全
- 确保无线J2ME的安全
- 确保 PHP 应用程序的安全
- 确保PHP应用程序的安全
- 命名空间
- ural 2072 - Kirill the Gardener 3 - dp
- Android从按下开机键到启动发生了什么
- ubuntu14.04 + mxnet + python2.7 安装指南
- java中classpath详细
- 要运行DNS安全扩展应答器?先确保它不会助攻黑帽
- CheckBox多选按钮实现CompoundButton.OnCheckedChangeListener
- 第一个简单的扫雷游戏
- java设计模式进阶_visitor
- EditText焦点
- Android中的Handler的机制与用法详解
- [code generation]EMF_Eclipse 数据模型框架
- 机器学习应该了解的十大算法
- 五招查出想要知道的IP地址