• Thứ Năm, 13/11/2008 11:28 (GMT+7)

    10% máy chủ DNS vẫn bị lỗi

    Theo một cuộc khảo sát toàn cầu, vài tháng sau khi sửa lỗi, hơn 10% máy chủ DNS vẫn bị thương tổn trước các cuộc tấn công “đầu độc bộ nhớ cache” (cache-poisoning).

    Theo kết quả của cuộc khảo sát hàng năm, chuyên gia DNS Cricket Liu, phó chủ tịch công ty Infoblox cho biết, hiện có khoảng 11,9 triệu máy chủ DNS và hơn 40% cho phép truy vấn đệ quy (recursion query) mở (tức là chúng chấp nhận truy vấn từ bất kỳ ai). ¼ trong số này (tức khoảng 1,3 triệu máy chủ DNS) vẫn chưa được vá lỗ hổng “đầu độc bộ nhớ cache”. Gần 60% của tổng số 11,9 triệu máy chủ DNS cho phép truy vấn đệ quy nhưng không mở (nghĩa là không phải truy vấn từ bất kỳ ai chúng cũng chấp nhận) nên không thuộc phạm vi của cuộc khảo sát.

    Theo ông Liu, lỗ hổng “đầu độc bộ nhớ cache” (được nhà nghiên cứu bảo mật Dan Kaminsky công bố chi tiết hồi tháng 7/2008) là có thật. Các module nhắm vào lỗ hổng này đã được thêm vào công cụ thử nghiệm xâm nhập và hack Metasploit. Đáng ngạc nhiên là 1 trong những máy chủ DNS đầu tiên bị tấn công “đầu độc bộ nhớ cache” làm thương tổn lại được ông HD Moore, tác giả Metasploit sử dụng.

    Cho tới hiện nay, “thuốc giải” cho lỗ hổng “đầu độc bộ nhớ cache” là sử dụng cổng ngẫu nhiên (port randomization). Bằng việc gửi các truy vấn DNS từ rất nhiều cổng nguồn sẽ làm kẻ tấn công khó đoán ra chính xác ra là cổng nào mà gửi dữ liệu “đầu độc” tới.

    Tuy nhiên, “port randomization” không khắc phục được hoàn toàn vấn đề. Muốn sửa lỗi triệt để cần áp dụng việc kiểm tra mã hóa DNSSEC. Nhưng DNSSEC lại cần đầu tư rất nhiều công sức và tiền của, chính vì vậy mà tới nay, lỗ hổng “đầu độc bộ nhớ cache” vẫn tồn tại chưa được giải quyết dứt điểm, ông Liu nói.

    Bạch Đình Vinh
    Theo InfoWorld, 10/11/2008

    ID: O0811_1