三零卫士

获取支持
病毒公告
漏洞公告
补丁下载
产品FAQ
解决方案及案例

关于DNS系统面临严重安全漏洞风险的紧急公告

　　漏洞描述：

　　2008年7月9日以来，思科、微软、ISC等互联网域名解析服务软件厂商纷纷发布了安全公告，称其DNS软件存在高危漏洞，攻击者可以通过猜测DNS解析过程中的报文序列号来伪造DNS权威服务器的应答，从而达到“污染”高速缓存（Cache）中的记录的目的，即将错误的域名指向信息注入DNS服务器，最终导致受到污染的DNS服务器将对外提供错误的解析结果。该种攻击方式可造成域名劫持攻击，使得公众在不知情的情况下通过域名访问到黑客指定的网站，面临网络钓鱼和网页木马等一系列严重的安全威胁。
　　7月22日，针对该漏洞的探测程序被发布，7月23日，针对该漏洞的完整攻击程序被发布，并随后广泛流传。我中心经过初步测试后发现，在带宽良好情况下，该攻击程序对存在漏洞的DNS服务器只需数分钟就可完成攻击，受攻击目标会瞬时接到大量攻击报文，容易被误判为“query flood”方式的拒绝服务攻击。
　　鉴于该安全事件形势严峻且发展迅速，为确保我国互联网的运行安全，请各相关单位迅速采取适当措施，对所运行的DNS服务器进行必要的安全加固，并加强异常监测和处置。

　　建议措施：

　　1、根据相应厂商提供的补丁升级DNS服务器系统；
　　2、因在攻击过程中会短时出现大量伪造的域名解析响应数据包，呈现拒绝服务攻击特点，这些数据包的源IP、目的IP、解析的IP地址相同，但序列号不同，可据此在有条件的防护设备（如智能防火墙、流量清洗设备等）上配置相应的规则加以屏蔽或过滤；
　　3、定期清理DNS缓存或在发现异常访问后清理缓存。

　　参考信息：

　　http://www.cert.org.cn/servlet/SubChannelArticles?channel=bulletin&sub=1?
　　http://www.kb.cert.org/vuls/id/800113
　　http://www.isc.org/sw/bind/bind-security.php
　　http://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtml
　　http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

　　本篇文章来源于国家计算机网络应急技术处理协调中心
　　原文链接：http://www.cert.org.cn/articles/bulletin/common/2008072424030.shtml
　　

　　　　　　　　　　　　　　

上一篇　　　　 返回　　　　下一篇

安全小贴士：常用的rundll32参数命令: rundll32.exe shell32.dll,Control_RunDLL
　　功能: 显示控制面板