作者 主題: DNS第三層掃描服務狀況  (閱讀 8564 次)

0 會員 與 1 訪客 正在閱讀本文。

myz

  • 活潑的大學生
  • ***
  • 文章數: 433
    • 檢視個人資料
DNS第三層掃描服務狀況
« 於: 2002-08-30 21:50 »
http://www.myhome.net.tw/2002_09/twnic_news/Twnic_news_0101.htm
值得注意的是,在DNS Server使用BIND系列的機器中,只有22%的比例是升級至最新版本的,駭客可能會利用已知的漏洞針對特定目標進行破壞。
 
 TWNIC 與 TWCERT/CC 合作推出的第三層DNS主機掃描系統,從7月3日正式開放讓.com.tw、.org.tw、.net.tw和.idv.tw的網域免費試用,截至8月23日止,共有117個網域名稱申請 DNS 安全性檢測,顯示國內對於 DNS 主機的安全性重視度程度並不高。檢測的內容包括有,版本偵測、攻擊偵測、轉送偵測和轄區傳送偵測等四大項九個小項。版本的分布比例如下:Windows佔了37%、BIND 4.x的佔了3%、BIND 8.x佔了35%而BIND 9.x的佔了25%;值得注意的是,在DNS Server使用BIND系列的機器中,只有22%的比例是升級至最新版本的,駭客可能會利用已知的漏洞針對特定目標進行破壞,必須要特別注意。目前BIND最新版本分別為4.9.9、8.3.3以及9.2.1,而ISC已經公佈除非有特別重大的系統漏洞出現,4.x的版本已不再更新維護,強烈建議將系統升級至8.3.3或9.2.1,以減少系統漏洞的發生。
 而大部分的錯誤皆為「Bind下遠端的name server允許本機遞迴查詢」與「轄區傳送的危機」,分別佔了82%和5%,跟上個月的47%與8%相較互有消長,然而這兩種錯誤都可以經由正確的設定來避免。
掃描系統網頁:。
 
http://rs.twnic.net.tw/cgi-bin/dnsscan.cgi



http://www.myhome.net.tw/2002_09/web_news/Web_news_0105.htm
每一部DNS都應該定期檢測,才能了解及評斷目前國內網路基礎建設的品質,進而加強與改進。
 
 DNS 的資訊是入侵者瞭解目的網路的第一步,入侵者可以藉由 Domain Name 相關資料瞭解該網域提供的服務及伺服器分佈情形,DNS 資訊中甚至可能包含該站台作業平台訊息等重要相關資訊。根據澳洲一家網路安全顧問公司於2000年6月的一份分析報告顯示,3/4的澳洲DNS伺服器有漏洞,可能會遭受阻斷式攻擊 (Denial of Service, DoS),一半左右的伺服器其root可能遭到竊取,影響層面之大,不可不慎。

 根據目前已知的DNS版本漏洞資訊,可以歸納出幾種攻擊的模式:

 1. Buffer overflow:即緩衝區溢位的攻擊,藉由傳送特定的shell codes,可能會讓攻擊者取得named執行時的權限或是root權限,執行惡意的指令。甚至在被入侵的主機開啟一個remote login shell,即所謂的後門,以方便下次的入侵。例如在2000年4月間流傳的lion worm即是。

 2. Crash server:藉由傳送不正常的訊息,導致named處理時產生錯誤crash掉。

 3. Denial of Service:藉由傳送不正常的封包或是因為系統管理者錯誤的設定,導致伺服器無法提供正常的服務,即阻斷服務攻擊(DoS attack)的發生。和crash server不同的是,這種攻擊模式並未造成伺服器當機,只是忙於處理『不正常的』requests。

 4. Information leak:即洩漏伺服器資訊的攻擊方式。有心人士可以得知系統相關資訊,並擬定下一波的攻擊行動。

 DNS是網路服務的基礎建設,需要長期不斷地保持其正常運作。每一部DNS都應該定期檢測,才能了解及評斷目前國內網路基礎建設的品質,進而加強與改進。台灣電腦網路危機處理/協調中心(TWCERT/CC)整理如下所列的Advisory,這些Advisory所公佈出來的漏洞都可能使您所管理的DNS有危險,如果您還不確定自己的DNS是否有漏洞可能遭駭客入侵,可以連結到以下網址進行檢測,並迅速更新漏洞。

 第三層主機安全掃描:
 
http://rs.twnic.net.tw/cgi-bin/dnsscan.cgi

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
DNS第三層掃描服務狀況
« 回覆 #1 於: 2002-08-30 22:01 »
來自ISC BIND8的一段說明!

Access Control
Access to the server can be restricted based on the IP address of the requesting system. See address_match_list for details on how to specify IP address lists.

allow-query
Specifies which hosts are allowed to ask ordinary questions. allow-query may also be specified in the zone statement, in which case it overrides the options allow-query statement. If not specified, the default is to allow queries from all hosts.
allow-transfer
Specifies which hosts are allowed to receive zone transfers from the server. allow-transfer may also be specified in the zone statement, in which case it overrides the options allow-transfer statement. If not specified, the default is to allow transfers from all hosts.
allow-recursion
Specifies which hosts are allowed to make recursive queries through this server. If not specified, the default is to allow recursive queries from all hosts.
blackhole
Specifies a list of addresses that the server will not accept queries from or use to resolve a query. Queries from these addresses will not be responded to

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
Re: DNS第三層掃描服務狀況
« 回覆 #2 於: 2002-08-30 22:03 »
引述: "myz"
 而大部分的錯誤皆為「Bind下遠端的name server允許本機遞迴查詢」與「轄區傳送的危機」,分別佔了82%和5%,跟上個月的47%與8%相較互有消長,然而這兩種錯誤都可以經由正確的設定來避免。
掃描系統網頁:。
 


不知道非 .tw 的,
有沒有測試網站可以用!

剛看了自己的設定檔,
發現我也沒作"Bind下遠端的name server允許本機遞迴查詢"的設限,
會有很多場合需要用到遞迴查詢?

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
DNS第三層掃描服務狀況
« 回覆 #3 於: 2002-08-30 22:52 »
請問是指recursion這個option嗎?
有允許跟沒允許差在那?@@"

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
DNS第三層掃描服務狀況
« 回覆 #4 於: 2002-08-31 00:26 »
假如有DoS攻擊,
未修正的Bind版本,
可能會因zone transfers或recursive queries造成crash.

Recursion 的選項好像比較少人用,
我看國外 NetBSD 的安全性建議,
也是把 allow-recursion 設為 local 網段.

myz

  • 活潑的大學生
  • ***
  • 文章數: 433
    • 檢視個人資料
Re: DNS第三層掃描服務狀況
« 回覆 #5 於: 2002-08-31 01:17 »
不曉得有沒有人收到他測試的報告書email??
因為已經過了各把鐘頭了, 還沒收到email?!

ccc1969

  • 可愛的小學生
  • *
  • 文章數: 16
    • 檢視個人資料
    • http://www.oz.org.tw
Re: DNS第三層掃描服務狀況
« 回覆 #6 於: 2002-09-26 23:46 »
引述: "myz"
不曉得有沒有人收到他測試的報告書email??
因為已經過了各把鐘頭了, 還沒收到email?!

收到了,不過是隔了一個禮拜後,還是個空的報告,什麼都沒有,我寫信去問,twcert回信說這個情況不可能發生,可能我的bind沒在跑(沒在跑的話我的web server也動不了),下周還要找個時間再試一次(我猜該測試服務不是即時的)

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
DNS第三層掃描服務狀況
« 回覆 #7 於: 2002-09-27 01:05 »
引述: "duncanlo"
Recursion 的選項好像比較少人用,
我看國外 NetBSD 的安全性建議,
也是把 allow-recursion 設為 local 網段.


我發現,
若把allow-recursion設成none時,
client的網路有時會怪怪的,
不知道有人有這相關的實例解析嗎?