本文提供 DNS 伺服器弱點對 DNS 伺服器快取探查攻擊問題的解決方案。
原始 KB 編號: 2678371
徵兆
什麼是「DNS 快取竊聽」,以及如何防止它? 將 DNS 快取探查描述為:
DNS 快取探查是在有人查詢 DNS 伺服器以找出 DNS 伺服器是否有特定 DNS 記錄快取時,因此,如果 DNS 伺服器的擁有者(或其使用者)最近流覽了特定網站,則會推斷出 DNS 伺服器的擁有者(或其使用者)。
這可能會顯示 DNS 伺服器擁有者的相關信息,例如廠商、銀行、服務提供者等。 特別是如果這在一段時間內被確認(窺探)多次。
這個方法甚至可以用來收集統計數據,例如,DNS 伺服器的擁有者通常會存取他的凈銀行等。快取的 DNS 記錄剩餘的 TTL 值可以提供非常精確的數據。即使 DNS 伺服器未設定為以遞歸方式解析第三方,也可以進行 DNS 快取探查,只要它也會提供快取中的記錄給第三方。
安全性稽核可能會報告各種 DNS 伺服器實作容易受到快取窺探攻擊,讓遠端攻擊者能夠識別指定名稱伺服器已解析哪些網域和主機。
一旦這類快取窺探弱點報告讀取:
DNS 伺服器快取窺探遠端資訊洩漏
概要:
遠端 DNS 伺服器很容易快取探查攻擊。
描述:
遠端 DNS 伺服器會回應未設定遞歸位之第三方網域的查詢。 這可讓遠端攻擊者判斷最近透過這個名稱伺服器解析的網域,以及最近造訪的主機。 例如,如果攻擊者對貴公司是否利用特定金融機構的 線上服務 感興趣,他們就能夠使用此攻擊來建立有關該金融機構公司使用方式的統計模型。 當然,攻擊也可以用來尋找 B2B 合作夥伴、網路衝浪模式、外部郵件伺服器等等。 注意:如果這是無法存取外部網路的內部 DNS 伺服器,攻擊會受限於內部網路。 這可能包括支援來賓網路或WiFi連線上的員工、顧問和潛在使用者。
風險因素:
中
CVSS 基底分數:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
另請參閱:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
解決方案:
請連絡 DNS 軟體的廠商以取得修正。
原因
此錯誤通常會在進行遞迴的 DNS Severs 上報告。
解決方法
沒有程序代碼修正,因為這是組態選擇。
共有三個選項:
如果 DNS 伺服器停留在無法由不受信任的用戶端連線的公司網路上,則保持遞歸啟用
不允許對 DNS 伺服器進行遞歸的公用存取
停用遞歸
其他相關資訊
根據預設,Microsoft DNS 伺服器設定為允許遞歸。
名稱遞歸可以在Microsoft DNS 伺服器上全域停用,但無法在個別用戶端或每個介面上停用。
大部分Microsoft DNS 伺服器都與域控制器伺服器角色搭配使用。 這類伺服器通常會裝載區域並解析裝置的 DNS 名稱 |Active Directory 樹系中的設備、成員客戶端、成員伺服器和域控制器,但也可能會解析公司網路較大部分的名稱。 由於Microsoft DNS 伺服器通常會部署在公司網路上的防火牆後方,因此無法存取不受信任的用戶端。 此設定中的伺服器系統管理員應考慮是否有必要停用或限制 DNS 遞歸。
全域停用遞歸並不是應該輕視的設定變更,因為這表示 DNS 伺服器無法解析本機未保留區域的任何 DNS 名稱。 這需要一些仔細的 DNS 規劃。 例如,用戶端通常無法直接指向這類伺服器。
必須根據 DNS 伺服器在部署中要執行的角色,來決定停用遞歸(或否)。 如果伺服器是要遞歸其用戶端的名稱,則無法停用遞歸。 如果伺服器只打算從本機區域傳回數據,而且絕不是要遞歸或轉送用戶端,則可能會停用遞歸。