在詐騙橫行的今日,如果電話查號臺被詐騙集團劫持了,而且詐騙集團還偽裝成查號臺繼續服務,提供錯誤的電話號碼給民眾,例如,民眾要查詢某家銀行的電話,這個假的查號臺就提供一個由詐騙集團偽裝的電話,那麼民眾不知不覺中就落入詐騙集團的圈套,任人宰割了。

在真實世界中,電話查號臺被劫持的可能性頗低,上述情節要發生的機率很低。然而,在網路世界裏,一個類似的狀況卻有可能會發生,那就是DNS快取污染的問題(DNS Cache Poisoning)。

美國電腦緊急應變小組(US-CERT)日前已經發出DNS伺服器漏洞的通報,但近日IOActive公司的安全研究員Dan Kaminsky證實了,以DNS漏洞來發動攻擊的可能性,於是US-CERT又再度於8月1日更新警告通報,呼籲大家要重視DNS設計上的漏洞,趕緊修補,以避免被利用來發動DNS快取污染攻擊,而造成波及大量電腦的資安事件。

我們要瀏覽網際網路,通常是在瀏覽器輸入URL,像是www.ithome.com.tw,而不是輸入IP位址(像是192.168.1.1),因為我們不容易記住一長串的數字。要由URL轉換為IP,就需要藉助DNS的查詢服務。當使用者輸入網站的URL之後,電腦就會對DNS伺服器發出查詢請求,DNS伺服器會查詢是否有該URL的IP位址記錄,如果沒有,就會再進一步往上請求根伺服器查詢,一旦查到了URL所對應的IP位址之後,DNS伺服器就會回覆,電腦就根據所接收的IP位址去連結網站。

DNS服務很像是電話查號臺一樣,只是一般人是在不知道電話號碼的情況下才會使用查號服務,而DNS服務卻是每次上網都得使用。問題來了,如果DNS服務像上述的查號臺被劫持的情況一樣,提供給使用者錯誤的IP位址,那麼電腦使用者就會在不知不覺中連上惡意網站。以現今的惡意手法來看,缺乏足夠防護的電腦一旦連上網站,整臺電腦極有可能就會被完全掌控,不僅是資料外洩,更會被惡意人士拿來當做傀儡電腦,對其他目標發動攻擊。

由於DNS先天上設計的不足而讓駭客有可乘之機(例如TXID只有16位元的長度),Dan Kaminsky日前證實了,可以用假冒的DNS伺服器來劫取用戶電腦要查詢DNS的訊息,並回報給使用者假冒網站的IP位址,而使用者的電腦只會信以為真,並無法辨識出是假冒的DNS伺服器所傳回的訊息。

因為這是先天設計上的問題,因而多數的DNS伺服器都有相同的漏洞,據Dan Kaminsky後續的追蹤,仍有半數的DNS伺服器尚未修補相關漏洞。對企業而言,現在有必要檢視DNS的漏洞問題,目前已有一些網站提供免費的線上檢測服務,可立即診斷DNS的漏洞。及早發現漏洞,就能早一點要求ISP修補,以避免資安事件的發生。請見本期深度報導的分析。

此外,本期封面故事報導遠端備份的新作法,藉由重複資料刪除技術與網路備份的配合,企業將更容易實現每天將大量資料備份到異地。以往,面對備份資料量大、網路頻寬不足的兩難,要把每天的備份資料備存在異地,通常的作法是把磁帶載運到異地端,現在,有了重複資料刪除技術,可以先把每日備份的資料量大幅縮減,就能實現透過網路將備份資料傳到異地機房了,請見本期封面故事的分析。

專欄作者

熱門新聞

Advertisement