설문 조사 : 10 개의 DNS 서버 중 하나가 '쉽게 걸러 질 수 있습니다'

Infoblox가 연례 조사를 위임 한 DNS 전문가 인 Cricket Liu는 말했다. "우리는 거기에 1190 만 개의 네임 서버가 있다고 추정하고 있으며, 40 %가 오픈 재귀를 허용한다고합니다. 며 "이 중 4 분의 1은 패치되지 않았기 때문에 취약한 130 만개의 네버 서버가있다"고 Infoblox의 아키텍처 담당 부사장 인 Liu는 말했다.

[추가 정보: 맬웨어 제거 방법 너의 바람에서 [

] 다른 DNS 서버는 재귀를 허용 할 수는 있지만 누구에게나 개방되어 있지 않으므로 설문 조사에 참여하지 못했다고 Liu는 밝혔다. 캐쉬 중독 취약점은 종종 7 월에 자세한 내용을 발표 한 보안 연구원 인 댄 카민스키 (Dan Kaminsky)는 "카민스키는 공개 된 지 몇 일 만에 공격당했습니다"라고 해커는 말했다.

해킹 및 침투 테스트 도구에 취약성을 목표로하는 모듈이 추가되었다. Metasploit 예를 들면. 아이러니하게도, 캐시 중독 공격으로 인해 손상된 첫 번째 DNS 서버 중 하나는 Metasploit의 저자 인 HD Moore가 사용했습니다.

현재로서는 캐시 중독 결함에 대한 해독책은 포트 무작위 화입니다. 다양한 소스 포트에서 DNS 쿼리를 보내면 공격자가 어떤 포트에서 중독 된 데이터를 보낼지 추측하기가 더 어려워집니다.

그러나 Liu는 부분적으로 만 수정되었습니다. 포트 랜덤 화는 문제를 완화하지만 공격을 불가능하게하지는 않습니다. "이것은 DNSSEC 보안 확장이 수행하는 암호화 검사에 대한 단초가 될뿐입니다."DNSSEC는 많은 인프라가 포함되어 있기 때문에 구현하는 데 훨씬 더 오래 걸릴 것입니다. 관리, 영역 서명, 공개 키 서명 등이 있습니다. 우리는 올해 DNSSEC 채택에 눈에 u만한 영향을 미칠 것으로 생각했지만, 우리는 백만 개의 샘플 중에서 45 개의 DNSSEC 레코드 만 보았습니다. 작년에 우리는 44 명을 보았습니다. "Liu는 긍적적인 측면에서 좋은 소식이 몇 가지 나타났습니다. 예를 들어 전자 메일 스푸핑과 싸우는 발신자 정책 프레임 워크 인 SPF에 대한 지원은 지난 12 개월 동안 샘플링 된 영역의 12.6 %에서 16.7 %로 증가했습니다. 또한 인터넷에 연결된 안전하지 않은 Microsoft DNS 서버 시스템의 수가 전체 2.7 %에서 0.17 %로 감소했습니다. 이 시스템은 여전히 ​​조직 내부에서 사용될 수 있지만, 중요한 것은 "사람들은 인터넷 연결을 꺼리고있다"는 것입니다. 앞으로 Liu는 열린 재귀 적 DNS에 대한 특별한 필요성이있는 조직

"개방형 재귀 서버의 비율이 낮아지는 것을보고 싶습니다. 패치를 적용하더라도 거부를 위해 큰 앰프를 만들기 때문입니다. 그는 "우리는 서비스 공격에 대해 재귀 서버를 제거 할 수는 있지만 누구도 서버를 사용할 필요가 없습니다. "