Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en lösning på ett problem där DNS Server-sårbarhet för DNS Server Cache-snokande attacker.
Ursprungligt KB-nummer: 2678371
Symptom
Vad är "DNS cache snooping" och hur förhindrar jag det? beskriver DNS cache snooping som:
DNS-cache snokande är när någon frågar en DNS-server för att ta reda på (snoop) om DNS-servern har en specifik DNS-post cachelagrad och därmed härleda om DNS-serverns ägare (eller dess användare) nyligen har besökt en viss webbplats.
Detta kan avslöja information om DNS-serverns ägare, till exempel vilken leverantör, bank, tjänstleverantör osv. de använder. Särskilt om detta bekräftas (snokades) flera gånger under en period.
Den här metoden kan till och med användas för att samla in statistisk information , till exempel vid vilken tidpunkt DNS-serverns ägare vanligtvis har åtkomst till sin nätbank osv. Den cachelagrade DNS-postens återstående TTL-värde kan ge mycket exakta data för detta.DNS cache snooping är möjligt även om DNS-servern inte är konfigurerad för rekursiv lösning för tredje part, så länge den tillhandahåller poster från cachen även till tredje part.
Säkerhetsgranskningar kan rapportera att olika DNS Server-implementeringar är sårbara för cache-snooping-attacker som gör att en fjärransluten angripare kan identifiera vilka domäner och värdar som [nyligen] har lösts av en viss namnserver.
När en sådan sårbarhetsrapport för cachesnabbning har lästs:
DNS Server Cache Snooping Remote Information Disclosure
Sammanfattning:
Fjärr-DNS-servern är sårbar för cachelagring av snokande attacker.
Beskrivning:
Fjärr-DNS-servern svarar på frågor för domäner från tredje part som inte har rekursionsbiten inställd. Detta kan göra det möjligt för en fjärransluten angripare att avgöra vilka domäner som nyligen har lösts via den här namnservern och därför vilka värdar som nyligen har besökts. Om en angripare till exempel var intresserad av om ditt företag använder ett visst finansinstituts onlinetjänster, skulle de kunna använda den här attacken för att skapa en statistisk modell för företagets användning av det finansinstitutet. Naturligtvis kan attacken också användas för att hitta B2B-partners, webbsurfmönster, externa e-postservrar med mera. Obs! Om det här är en intern DNS-server som inte kan nås till externa nätverk begränsas attacker till det interna nätverket. Detta kan omfatta anställda, konsulter och potentiellt användare i ett gästnätverk eller WiFi-anslutning om det stöds.
Riskfaktor:
Medium
CVSS-baspoäng:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Se även:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Lösning:
Kontakta leverantören av DNS-programvaran för att få en korrigering.
Orsak
Det här felet rapporteras vanligtvis på DNS Severs som rekursion.
Åtgärd
Det finns ingen kodkorrigering eftersom det här är ett konfigurationsalternativ.
Det finns tre alternativ:
Låt rekursion vara aktiverad om DNS-servern finns kvar i ett företagsnätverk som inte kan nås av ej betrodda klienter
Tillåt inte offentlig åtkomst till DNS-servrar som utför rekursion
Inaktivera rekursion
Mer information
Som standard är Microsoft DNS-servrar konfigurerade för att tillåta rekursion.
Namnrekursion kan inaktiveras globalt på en Microsoft DNS-server men kan inte inaktiveras per klient eller per gränssnitt.
Majoriteten av Microsoft DNS-servrarna är myntinstallerade med serverrollen Domänkontrollant. Sådana servrar är vanligtvis värdzoner och löser DNS-namn för enheter | enheter, medlemsklienter, medlemsservrar och domänkontrollanter i en Active Directory-skog men kan även matcha namn för större delar av ett företagsnätverk. Eftersom Microsoft DNS-servrar vanligtvis distribueras bakom brandväggar i företagsnätverk är de inte tillgängliga för ej betrodda klienter. Administratörer av servrar i den här inställningen bör överväga om det är nödvändigt att inaktivera eller begränsa DNS-rekursion.
Att inaktivera rekursion globalt är inte en konfigurationsändring som bör tas lättvindigt eftersom det innebär att DNS-servern inte kan matcha några DNS-namn i zoner som inte lagras lokalt. Detta kräver noggrann DNS-planering. Klienter kan till exempel vanligtvis inte pekas direkt på sådana servrar.
Beslutet att inaktivera rekursion (eller inte) måste fattas baserat på vilken roll DNS-servern är avsedd att göra i distributionen. Om servern är avsedd att upprepa namn för sina klienter kan rekursion inte inaktiveras. Om servern är avsedd att endast returnera data från lokala zoner och aldrig är avsedd att upprepas eller vidarebefordras för klienter kan rekursion inaktiveras.