调查：运行旧版软件使互联网易受恶意攻击

据本周一发表的一份报告称，许多域名系统（DNS ）服务器的配置不当或者运行着过时的软件，使得它们很容易受到恶意攻击。

DNS 服务器支撑着互联网的运行。在调查中，互联网性能监测公司The Measurement Factory 发现，五分之一的DNS 服务器运行着过时的 BIND域名解析软件。

该公司在其报告中说，运行BIND 9以前版本软件的DNS 服务器对“网植攻击敞开着大门”。DNS 缓存中毒就是黑客攻击DNS 服务器，利用恶意网站的IP地址取代合法网站的IP地址，当用户访问合法网站时就会被引导到恶意网站。

安全厂商Secunia 的技术总监克里斯藤森说，约20% 的DNS 服务器运行着过时软件是可能的，但他对这些缺陷被利用的危险持一种低调态度。

他说，需要指出的是，8.x 和4.x 版BIND并非有如此多的漏洞，只是它们的设计方式使得它们不适合在特定配置的DNS 服务器中使用，这使得它们可能会受到DNS 缓存中毒攻击。

克里斯藤森表示，互联网系统协会强烈建议不要将4.X 和8.X 版BIND软件用于转发器。

通过对130 万台DNS 服务器进行调查，The Measurement Factory 发现，四分之三的DNS 服务器向任意的查询者，而不仅仅是可信赖的用户提供“递归式查找服务”。报告指出，这就可能使域名服务器受到攻击。

从理论上说，一旦黑客攻击了一台DNS 服务器，“递归式查找服务”就可能被用来迫使其它DNS 服务器利用受到攻击的DNS 服务器解析请求。随着时间的推移，黑客将能够使许多DNS 服务器的缓存中毒。

据Inblox公司称，“递归式查找服务”只应当在面向有限的可信赖请求者的DNS 服务器上使用。克里斯藤森也赞同这一主意，他说，使任意人都能够进行递归式查找不是一个好主意，因为它提高了缓存区中毒和拒绝服务攻击的可能性。

一般来说，递归式查找请求应当只允许来自特定的IP地址。克里斯藤森说，ISP 应当只向它们自己的客户提供DNS 服务。