近日，美國ISC(Internet Systems Consortium) 緊急發(fā)布了一個補丁，是為了修補隱藏在DNS域名解析服務(wù)軟件ISC BIND中的嚴重安全漏洞。該安全漏洞編號為CVE-2015-5477，能夠允許遠程、未經(jīng)認證的攻擊者使用BIND發(fā)送特殊的命令，導(dǎo)致DNS服務(wù)器崩潰。目前，所有BIND 9版本, 互聯(lián)網(wǎng)上對應(yīng)版本的遞歸服務(wù)器和權(quán)威服務(wù)器均受到該漏洞影響。CNVD對該漏洞的綜合評級為“高危”。

BIND是目前部署在域名服務(wù)器中應(yīng)用最廣泛的開源軟件之一。據(jù)悉，通過該漏洞，一名攻擊者可以在一次行動中造成一片網(wǎng)絡(luò)區(qū)域不正常，讓運行BIND 的DNS服務(wù)器崩潰，讓大量用戶無法連接互聯(lián)網(wǎng)。當(dāng)多名攻擊者同時行動時，就會導(dǎo)致足夠多的DNS服務(wù)器出現(xiàn)崩潰，可能會造成今年最大規(guī)模的網(wǎng)絡(luò)罷工。

此漏洞之所以能造成廣泛影響，是因為BIND句柄的TKEY查詢中出現(xiàn)了Bug，一個簡單的UDP包就可以導(dǎo)致BIND服務(wù)器出現(xiàn)“assertion failure”錯誤，進而服務(wù)器上的DNS服務(wù)守護進程會結(jié)束。根據(jù)實際使用情況評估，盡管TKEY 查詢功能使用較少，但由于基于漏洞構(gòu)造的惡意攻擊包有可能存在極強的前置條件，即使在服務(wù)器上配置訪問控制列表或限制(拒絕)相關(guān)配置選項，也不能有效防范漏洞攻擊。

DNS 攻擊日志

DNS是大多數(shù)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵點，破壞了DNS，意味著電子郵件服務(wù)、HTTP服務(wù)、以及其他許多服務(wù)都不可用。據(jù)知道創(chuàng)宇ZoomEye團隊對全國DNS服務(wù)器進行摸底探測的調(diào)查數(shù)據(jù)顯示，國內(nèi)使用ISC BIND服務(wù)的有29913臺，地域分布前五名分別是：北京 6446 臺 (占我國使用ISC BIND 的服務(wù)器總數(shù)的21.55%) , 廣東3684 臺(占比12.3%)，上海2712 臺(占比9.07%)，江蘇 1955 臺(占比6.54%)，浙江1913臺(占比6.40%)。

目前我國使用ISC BIND的網(wǎng)絡(luò)服務(wù)提供商中，前三名分別是中國電信(占比42%)、中國聯(lián)通(占比25%)和中國移動(占比8%)，以上三家網(wǎng)絡(luò)服務(wù)提供商的在我國擁有大量用戶，一旦黑客發(fā)起大規(guī)模攻擊，三大運營商服務(wù)器首當(dāng)其沖將會引發(fā)連鎖反應(yīng)，對我國基礎(chǔ)網(wǎng)絡(luò)穩(wěn)定產(chǎn)生較大的威脅，一旦遭受網(wǎng)絡(luò)攻擊將引發(fā)DNS服務(wù)異常，從而會導(dǎo)致大范圍網(wǎng)絡(luò)中斷。

目前， 廠商已經(jīng)發(fā)布了漏洞修補程序。知道創(chuàng)宇提醒用戶盡早升級到BIND最新版本，并及時下載補丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。另外，通過接入知道創(chuàng)宇旗下重磅安全產(chǎn)品創(chuàng)宇盾，也可以保護用戶不受此漏洞影響。

歷史上重大DNS安全事件回顧

一、1·21中國互聯(lián)網(wǎng)DNS大劫難

2014年1月21日下午3點10分左右，國內(nèi)通用頂級域的根服務(wù)器忽然出現(xiàn)異常，導(dǎo)致眾多知名網(wǎng)站出現(xiàn)DNS解析故障，用戶無法正常訪問。雖然國內(nèi)訪問根服務(wù)器很快恢復(fù)，但由于DNS緩存問題，部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍持續(xù)了數(shù)個小時，至少有2/3的國內(nèi)網(wǎng)站受到影響。事故發(fā)生期間，超過85%的用戶遭遇了DNS故障，引發(fā)網(wǎng)速變慢和打不開網(wǎng)站的情況。

二、百度：baidu.com域名被劫持

2010年1月12日上午，百度被自稱是伊朗網(wǎng)軍(Iranian Cyber Army)的黑客組織入侵，域名baidu.com的WHOIS傳輸協(xié)議被無故更改，權(quán)威DNS服務(wù)器被更換至雅虎屬下的兩個域名服務(wù)器，www.baidu.com指向到海外的一個服務(wù)器。該故障導(dǎo)致網(wǎng)民無法正常登陸百度網(wǎng)站達8小時之久，是百度成立以來最嚴重的服務(wù)器故障事件，給造成百度直接損失超過700萬元人民幣。

三、新浪：DNS服務(wù)器出現(xiàn)域名無法解析故障

2012年1月30日，正值春節(jié)之后的工作日，新浪網(wǎng)卻慘遭訪問故障，部分地區(qū)出現(xiàn)無法訪問的情況，聯(lián)通用戶影響尤為嚴重。根據(jù)新浪官方聲明，正是因為DNS服務(wù)器出現(xiàn)域名無法解析故障所致。該次故障持續(xù)時間較短，但鑒于新浪在國內(nèi)的影響力，所以本次事件不得不提。

四、某知名CDN服務(wù)商：DNS故障致多家知名網(wǎng)站斷線時間超一小時

2013年1月27日，某知名CDN服務(wù)商DNS故障導(dǎo)致不少大客戶斷線時間超過一小時，包括163、騰訊、鳳凰網(wǎng)、百度、多玩、m1905、樂視網(wǎng)以及12306在內(nèi)的知名網(wǎng)站在部分地區(qū)的訪問受到影響。官方稱是技術(shù)升級中一模塊故障導(dǎo)致，但有消息指出，真正的原因是系統(tǒng)故障，因公司年會無人監(jiān)控導(dǎo)致應(yīng)急處理速度降低。

五、CN域名：“遭攻擊”致大面積癱瘓

2013年8月25日，.cn域名解析節(jié)點受到拒絕服務(wù)攻擊，受到影響的包括新浪微博客戶端及一些.cn網(wǎng)站。根據(jù)DNSPod的監(jiān)控顯示，CN的根域授權(quán)DNS全線故障，所有CN域名均無法解析。