DNS(DomainNameSystem，域名解析系统)的一些漏洞

　　DanKaminsky曾在思科工作，现在就职于IOActive网络安全公司。10年来他9次站在BlackHat大会上发言。现年29岁的DanKaminsky自称为DNSGeek(DNS极客)，在今年年初时曾发现了DNS系统的一个严重漏洞，为了不让互联网遭受重创，他一直不肯透露漏洞细节。

　　还包括一些额外信息，因此只要攻击者在所谓的abc.com站点上拥有DNS服务器，就可以对请求做出响应。

　　这两种漏洞在很早以前就得到了解决，而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息，比如输入搜狐的DNS地址http：//61.135.179.166时，并不会访问搜狐的主页，而是出现报错页面，在策略上已经形成了范围保护。

　　为DNS打补丁

　　那么，DanKaminsky的新发现何以让安全业内人士恐慌呢？在2008年的BlackHat大会上，资深安全专家DanKaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于，它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时，它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应，并且确保它们来自正确的搜索请求。

　　DanKaminsky表示：“这基本上就是黑客和合法服务器之间的一场竞赛，攻击者可以发送100个错误的响应，那么，1/65535的机率就可以提高到一个更有利的水平——1/655。”

　　幸运的是，DanKaminsky在过去几个月中，一直孜孜不倦地试图说服DNS服务器运营商，并在运营商的圈子中尽力传播这一消息。DanKaminsky说，他向运营商建议随机选择使用DNS源端口，这样可以消除现有DNS源端口的可预见性，并且用随机选择技术替代该性质。现在，攻击者不仅仅需要猜测正确的交易ID，也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000，使该攻击变得无效。

　　为了测试服务器中的漏洞，DanKaminsky还提供了一种简易的DNS检验工具(可以访问http：//www.doxpara.com，用户可以检查各自的电脑是否存在该DNS漏洞)，发送大量查询到DNS检验服务器，然后对查询进行分析。据统计，世界上80%以上的DNS服务器都已经经过修补了，包括许多主要供应商使用的服务器。

　　一些大型ISP，诸如澳洲电信、Optus(新加坡电信旗下子公