由DNS漏洞引发的Web安全思考

DNS(域名系统)是大多数互联网服务核心，然而DNS中却也存在漏洞。通常如果DNS出现问题的话，每个网站都可能发生故障，而且所有的电子邮件也将不知去向，总之，问题会很严重。你可能已经在很多媒体报道中听闻过这件事，华尔街日报，BBC新闻，以及一些媒体界地位显赫的人也在报道这则消息，甚至连SecurityFocus也不例外。具体来说，主要谈论的是以下问题：

　　1 在很多平台中都有一个漏洞

　　2 在很多平台中都有完全相同的漏洞(设计上出现的漏洞总让人很头痛)

　　3 经过我们不懈的努力，终于得到了所有主要平台的漏洞补丁，并且几乎是在同一天。

　　4 这在之前并未发生过。所有的一切真正地得到了控制。

　　对于我们在漏洞问题上获得的成就我感到相当自豪。我们有Windows,我们有Cisco IOS，我们有Nominum，我们还有BIND 9，而且当我们没有BIND 8时，我们还有Yahoo--大家所知道的最大的基于BIND 8建设的网站，而Yahoo公开承诺将完全屏弃BIND 8。

　　CERT(Computer Emergency Response Team,是由美国联邦政府资助专门研究计算机及网络安全的组织，他们随时提供最新发现的计算机及网络安全问题，并提供一些解决方法)为我们的工作提供了很多详细信息，并且我和Rich Mogull对于Securosis问题进行了全面的探讨。对于普通读者来说，你们可能想要获取更多更完整的资料，不过这里所谈的东西也有限，但我确实有些东西想告诉大家。

　　我们完成的工作真的是意义重大。

　　要强调的是我们!而不是我个人，因为我自己一个人是不可能完成这个巨大工程的。

　　首先要感谢的是Paul Vixie，一个大家所熟知的组织机构，长期以来维持着互联网上最流行的DNS服务器。PAUL能够将我们所需要的工程师聚集起来，共同解决这个问题。我们需要 Florian Weimer, 从欧洲远道而来.我们需要David Dagon, Jinmei Tatuya, 以及Wouter Wijngaards. 我们还需要Microsoft, Cisco, Nominum, Neustar, 以及OpenDNS.Paul都做到了。

　　当然我们也少不了CERT的帮助。

　　我们进行了有趣的探讨，虽然期间出现了很多分歧，但是慢慢地也开始达成很多共识。在对很多方法进行评估后，其中最好的方法也逐渐清晰出来，我必须承认，这让PAUL着实有些尴尬。

　　DJB是正确的。在很多年前，Dan J. Bernstein就是正确的：源端口随机化应该要在生产使用中成为每一个域名服务器必须具备的标准。

　　在我工作的过程中有一句这样的话一直指导着我前行：运气是设计的残余物质。Dan Bernstein无疑是一个特别幸运的程序员，但是这也并非偶然。这位程序专家以一种十分自然的方式进行着他的系统工程，就像生命和呼吸一样自然的方式，这是置身于混乱代码中的我渴望的一种工作方式。从这点来看他是“幸运的”，他成功地让自己免受那些几乎从未遇到过的攻击的袭击。

　　而这才是真正优秀设计的标志，优秀的设计可以让你免受那些你完全不知道的事物的困扰，所以我们正在部署这种优秀设计来提供各种信息。

　　为了让大家能够更好地理解这个修复补丁，我们可以这样来理解，想象一下从匿名用户到身份验证用户处产生的大量WINDOWS RPC，或者只是管理员。只要联想一下WINDOWS XP SP2。从设计的角度来看，这像是一个大斧子，它能够切断所有攻击面，而不需要说明原因。通过一个适当的修补程序，甚至连微乎其微的漏洞都能够很容易隐藏，或者变得无关紧要。

　　当然，很显然会有一些新的问题出现，一些最终将会被发现的问题。还是存在很多漏洞程序，这些漏洞程序不仅仅容易受到新的漏洞的攻击，即使是对于那些存在多年的漏洞仍然没有办法。如果我们做出的所有努力能够将那些困扰我们很久的BIND 8漏洞从互联网中清除，如果我们能够完全消除Joe Stewart于2002年制造的生日攻击，如果我们能够对于Amit Klein去年发现的Transaction ID Randomness开始作出一些努力，如果DJB多年前警告过我们的静态断口分配问题能够解决，那么我们就获得了巨大的胜利。

　　新问题之所以如此严重是有原因的，但是我认为理性的人应该会同意这样的说法，那就是，即使只是旧的漏洞，都将成为互联网安全的巨大威胁。所以，我想请问开放研究社区，假设我什么都没有发现，假设这只是一个噱头，只是想引起人们对JOE和AMIT以及DJB等问题的重视，以及给网络扫描器一个透明的清晰的环境，让人们知道可信的好的服务器是怎样的。

　　Joe 和Amit 特别是 DJB做了一些让我们难以置信的事情 ，我从中看到了最可怕的一面，但是他们的漏洞最终还是被修复了，并且至今还没有出现问题。

　　对于那些不会作出这样假设的人，我有一个请求，一个不寻常的请求，可能也是不合理的请求，但是我还是要问。

　　我要你们探索DNS，我希望你们能尝试建立类似的漏洞，来找出可能出现的问题。也许我漏掉了一些东西，希望你们能把我漏掉的部分补充上来，那么我们就能尽快地解决它。真的希望你们能和我一起努力把所有问题都解决掉。同样，我一直都想能够让我的家人安全地使用互联网，我不奢望永远的安全，我只要哪怕三十天。我已经尽自己全力去获取有效补丁，不管是哪种平台。但是代码总是不能自身安装。当我不在场的时候，希望你们能帮助我一起将所有这些旧的或新的漏洞从互联网中清除，以保障公共论坛和IRC频道的正常秩序。我们很好奇，我们想知道问题是如何产生的。但是当公众需要哪怕一次修复这些漏洞的机会，从一个十分自私的角度来说，我还是有点希望我的thunder不会被完全清除。

标签： dns dns服务 dns服务器 安全 代码 电子邮件 服务器 互联网 互联网安全 互联网服务 漏洞 媒体 网络 网络安全 网络安全问题 域名 域名系统

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。