19.01.2017  Мнения, Безопасность

Дефекты безопасности системы доменных имен (DNS) недавно стали причиной крупных DDoS-атак. Прошлой осенью из-за отказа DNS пострадали пользователи Azure. Чуть позже небывалая по своим масштабам DDoS-атака на DNS-провайдера Dyn вывела из строя десятки тысяч веб-сайтов. Поэтому, когда Internet Systems Consortium (ISC) выпускает патчи для трех крупных проблем безопасности DNS-сервера BIND, вы должны их установить. Не откладывая на потом. BIND является самым популярным DNS-сервером Интернета. Как и все DNS-серверы, он транслирует читаемые человеком доменные имена в IP-адреса. Он используется почти во всех серверах на основе Linux и Unix. По сути дела, если у вас работает DNS, особенно под Linux, у вас работает BIND. Пока вы не установите патчи, в вашем BIND будут существовать три дыры в безопасности, и одна из них может быть использована для DDoS-атак. Это CVE-2016-9131 (испорченный ответ за запрос ANY может вызвать отказ assertion failure при рекурсии), CVE-2016-9147 (ошибка обработки ответа на запрос с некорректной DNSSEC-информацией может вызвать assertion failure) и CVE-2016-9444 (необычно сформированная DS-ресурсная запись может вызвать assertion failure). Единственной хорошей новостью является то, что в описанном смысле наиболее уязвимы DNS-серверы, функционирующие в рекурсивном режиме. В этом режиме сервер BIND, не найдя ответ в своем локальном кэше, пытается обработать адрес путем запросов к вышестоящим авторитетным DNS-серверам. Авторитетные DNS-серверы сравнительно ... читать далее.