枣庄网

首页 > 悦读 > 正文

热闻

  • 图片

DNS协议将要修改!BlackHat黑帽大会2008

文章作者:sourceg

 

看了Dan Kmisky在 BlackHat上发言的PPT。发现除了DNS漏洞攻击的内容外,这个我并不很在意,因为之前已经泄露并且有现成的代码。Dan本人也是站在Internet架构的安全性来谈的。涉及的内容及实例也很丰富,包括网上银行,电子邮件,用户账号,软件在线自动升级,内网等的安全性问题。阐明DNS的核心BUG会使很多安全设施(如 SSL,IPSec,Internal Network Behind Firewall)变得并不安全。

 

由于DNS的这一漏洞,DNS服务器的缓存会被随意修改,即poisoning毒化,即便是在防火墙后的主机也不能幸免,在更彻底的解决方案出台以前(估计是修改DNS协议,参见Measures for making DNS more resilient against forged answers  draft-ietf-dnsext-forgery-resilience-06.txt)需要一些零时措施来修补由此造成的各类Bug。

 

DNS客户端(比如个人电脑)在特定环境下,也会受到此漏洞的威胁。

 

我们正步入安全研究的第三时代-“所有的网络程序都是攻击的对象”。除了微软外的在线自动更新尤其糟糕危险(可以参考http://www.infobyte.com.ar的有关内容)。

 

由于SSL证书自身依赖于DNS,所以SSL也不再包治百病。

 

DNS漏洞使得诸如搞OpenID之类“万能钥匙”的各种实现技术彻底破产。

 

由于Java技术和受外部活动影响的内部路由,内网不再安全。内网的整个概念将被打破-由于各式各样的不安全联系。

 

确实,Dan只是发现了利用DNS协议漏洞的攻击方法。不过他的presentation中利用这一攻击手段所造成的威胁很是触目精心。对于职业黑客来说,整个Internet网络安全还是显得很脆弱。即便DNS协议得到完善,网络里不加密的IP传输也依然暴露在光天化日之下,职业黑客也一定有比Dan更多的手段。

 

可惜没机会参加BlackHat大会,很多presentation的详细内容也还不能看到。不过,可以看到这次所讨论的一些题目。


相关阅读:
淘宝企业店购买 http://www.dp55888.com/
枣庄资讯 枣庄|访谈|国内|国际|民生在线|便民服务|悦读|公益|房产|金融|美食|健康|女性|汽车|旅游|家居|