据本周一发表的一份报告称,许多域名系统(DNS )服务器的配置不当或者运行着过时的软件,使得它们很容易受到恶意***。

DNS 服务器支撑着互联网的运行。在调查中,互联网性能监测公司The Measurement Factory 发现,五分之一的DNS 服务器运行着过时的 BIND域名解析软件。

该公司在其报告中说,运行BIND 9以前版本软件的DNS 服务器对“网植***敞开着大门”。DNS 缓存中毒就是******DNS 服务器,利用恶意网站的IP地址取代合法网站的IP地址,当用户访问合法网站时就会被引导到恶意网站。

安全厂商Secunia 的技术总监克里斯藤森说,约20% 的DNS 服务器运行着过时软件是可能的,但他对这些缺陷被利用的危险持一种低调态度。

他说,需要指出的是,8.x 和4.x 版BIND并非有如此多的漏洞,只是它们的设计方式使得它们不适合在特定配置的DNS 服务器中使用,这使得它们可能会受到DNS 缓存中毒***。

克里斯藤森表示,互联网系统协会强烈建议不要将4.X 和8.X 版BIND软件用于转发器。

通过对130 万台DNS 服务器进行调查,The Measurement Factory 发现,四分之三的DNS 服务器向任意的查询者,而不仅仅是可信赖的用户提供“递归式查找服务”。报告指出,这就可能使域名服务器受到***。

从理论上说,一旦******了一台DNS 服务器,“递归式查找服务”就可能被用来迫使其它DNS 服务器利用受到***的DNS 服务器解析请求。随着时间的推移,***将能够使许多DNS 服务器的缓存中毒。

据Inblox公司称,“递归式查找服务”只应当在面向有限的可信赖请求者的DNS 服务器上使用。克里斯藤森也赞同这一主意,他说,使任意人都能够进行递归式查找不是一个好主意,因为它提高了缓存区中毒和拒绝服务***的可能性。

一般来说,递归式查找请求应当只允许来自特定的IP地址。克里斯藤森说,ISP 应当只向它们自己的客户提供DNS 服务。