研究人员警告:DNS缓存污染攻击可能死灰复燃

加州大学河滨分校(UC Riverside)的一群安全研究人员在本周指出,近年来已销声匿迹的DNS缓存污染(DNS cache poisoning)攻击,很可能在多个漏洞的帮助下死灰复燃,相关的漏洞波及网络上34%的开放解析器,包括于该领域市场占有率高达85%的Google 8.8.8.8与CloudFlare 1.1.1.1。

DNS系统主要是用来连接域名名称及其IP地址,而DNS缓存污染则是在DNS的缓存中注入一个恶意的IP地址,以将用户连接到由黑客所控制的服务器上,骗取用户输入其凭证。

DNS缓存污染曾是颇受欢迎的凭证窃取手法,然而,随着各大浏览器随机采用不同的传输端口来发送解析或转发请求,有效地防范了相关的攻击。然而,研究人员发现了一系列的漏洞,可用来卸去随机传输端口的保护机制,而让DNS缓存攻击得以重生。

该研究团队利用一个可用来假冒IP地址的设备,以及一台用来触发DNS转发或解析请求的计算机,转发与解析机制皆为DNS系统中的组件,以将请求发送到适合的系统上;在利用转发机制的攻击中,黑客可加入一个公开的无线网络,而在基于解析机制的攻击中,则可借由任何公共的解析器,包括Google 8.8.8.8或CloudFlare 1.1.1.1展开攻击。

在进入这些公共服务之后,黑客就能展开旁路攻击,利用一个位于域名名称请求主要信道之外的附属信道,找出来源传输端口。研究人员找到一个方法能够延长信道打开的时间,并于每秒执行1,000次的猜测,直至找到正确的传输端口,接着就如同传统的攻击手法,植入恶意的IP地址,执行DNS缓存污染攻击。

该攻击影响DNS基础设施的所有缓存层,诸如DNS转发缓存或解析缓存,也波及广泛的DNS软件堆栈,涵盖BIND、Unbound,以及于Linux上运行的dnsmasq,也可能有其它操作系统受害,漏洞存在的条件则是操作系统及网络的配置允许ICMP(Internet Control Message Protocol)的错误回复。

该研究团队表示,他们已在实际的环境中实验了该攻击手法,证明它是可行的。此外,他们也建议企业应该采用额外的随功能力与加密解析决方案,来防堵相关攻击。

发表评论