要运行DNS安全扩展应答器？先确保它不会助攻黑帽

系统可能会放大攻击

系统管理员在配置和管理DNS安全拓展上犯错，使得原本安全的系统在DNS反射攻击中被利用。

这是Neustar发布的研究中的结论，研究发现，经受测试的超过1300个被DNS安全扩展保护的域名中，80%在攻击中能被利用。

问题域名被DNS安全拓展展开，并回应DNS“任意”查询。“任意”请求要求应答器提供关于域名的所有信息，包括MX（邮件服务器）记录，IP地址等等。因此一个任意请求报告了比一个简单的域名地址请求更多的内容。

总之,DNS安全扩展的响应更大。正如Neustar的报告中所说，“有数字散列签名和复杂的密钥交换，DNS安全扩展记录在很大程度上比标准DNS更大！”。

Neustar计算，一般低配置的DNS安全拓展服务器能够增加28.9倍攻击者的通信量；他们能让一个80个字节的查询有2313个对象；他们从被保护的服务器中得到的最大的对象有17377个字节，是查询尺寸的217倍。

这次试验用递归服务器管理，这不在Neustar的控制范围内。

 倘若域名不但是一个拒绝服务变量，而且要用查询交换DNS，公司称这种攻击会耗尽他们的成本。

不幸的是，所有这些并非一个程序漏洞，而是一种功能：甚至对于DNS安全拓展来说，系统的目的是回答查询——所以这不是应用补丁的问题，这是保护系统的问题。

总体而言，对于运算符最好的建议是滤出任意请求，并且将滥用检测机制放置到位。

来源：漏洞银行
链接：http://www.bugbank.cn/news/detail/57ba895192d0ce1f0bc2a50b.html
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。