DNS(DomainNameSystem，域名解析系统)的一些漏洞

　　iiNet网络工程师MarkNewton说，由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行，因而他们在修补DNS漏洞方面可能会比较滞后。另外，他们为了降低成本，还缺乏独立分隔开的DNS服务器，所有的数据运行都整合在一台服务器当中，更容易遭受巨大风险。

　　拯救受困的DNS

　　虽然一些企业已经修补了其DNS服务器，但这并没有结束，仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时，用户是受到保护的。但是，这并不是用户惟一访问互联网的途径，用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所，通过他们提供的DNS服务，访问互联网，同样存在遭受DNS攻击的可能。

　　DanKaminsky建议，目前看上去用户还处于一种不设防的状态，最好的策略是确保员工使用VPN连接返回到企业基础设施，确保这种联网方式不使用分离的信道，同时保证用户通过VPN获得DNS的正确配置，这样可以确保远程用户可以使用他们的企业DNS服务器，而不是依赖访问站点提供的那些服务器。

　　DanKaminsky揭露了DNS新漏洞，DNS服务器的缓存会被随意修改，即便是在防火墙后的主机也不能幸免，因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案：

　　1.针对终端桌面用户，最好的办法是等待公司或ISP的工作人员修正问题，通过安装适当的补丁，消除DNS的这两种漏洞。

　　2.对于FreeBSD用户，减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable=”YES”，执行/etc/rc.d/namedrestart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来，黑客对缓存服务器的单点攻击，就变成了对所有桌面系统的攻击行为，从而大大提高黑客的攻击成本。但缺点是，这样做意味着无法有效利用上游DNS的缓存。

　　3.如果是缓存DNS服务器的管理员，那么除了需要打补丁之外(如果你的系统中存在这个漏洞)，还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解，而DNSSEC才是解决问题的根本。

　　4.如果是权威DNS服务器的管理员，那么事实上什么都做不了，因为缓存DNS服务器并不受D