BIND

BIND安全漏洞 CVE-2011-1910

| Security | #BIND | #DNS | #security | #vulnerability | #CVE-2011-1910

这次休假前头一天晚上收到了 ISC 发来的安全公告 CVE-2011-1910。我起草完 FreeBSD 安全公告 FreeBSD-SA-11:02.bind.asc 之后就去休假了,这里补上这个漏洞的说明。

无论你是否使用 DNSsec,只要用 BIND 9.x 来做 DNS 缓存解析服务(而不仅仅做Authoritive DNS服务),就有可能受到这个漏洞的影响。而攻击的方法也相当简单,攻击者只要建立一个 DNS 域,令在回应域名不存在的同时发回一个大的 RRSIG RRset,即可触发 BIND 的某处断言令其退出。

阅读全文…( 本文约 294 字,阅读大致需要 1 分钟 )

DNS安全:投毒攻击与缓存服务器的配置

| Security | #BIND | #DNS | #Security

DNS是目前互联网上使用最为普遍,同时也是漏洞很多的一个协议。DNS投毒攻击(Poisoning)是一种比较常见的攻击手法,具体而言,通常一台 DNS 缓存服务器能够影响大量的客户机,通过投毒攻击,能够使得大量用户访问某个具体域名时得到不正确的结果(例如,钓鱼网站,等等)。

阅读全文…( 本文约 1115 字,阅读大致需要 3 分钟 )

DNS漏洞解析

| Security | #BIND | #DNSsec | #FreeBSD | #Ubuntu | #俯卧撑 | #打酱油

最近炒的比较火的一个漏洞是 DNS 协议本身发现的一个严重问题(CERT VU#800113)。国内媒体对此的报道多数都语焉不详,因此我想有必要说说这个漏洞到底是怎么回事。

阅读全文…( 本文约 2084 字,阅读大致需要 5 分钟 )

域名中不应出现下划线

| Security | #BIND | #DNS | #域名

目前我知道国内有至少两家主要的互联网公司用了这样的域名,不知道他们用的是什么域名服务器,至少 BIND 9 是不支持这样做的。

RFC 952 - 美国国防部互联网主机表规范中的相关条文如下:

阅读全文…( 本文约 480 字,阅读大致需要 1 分钟 )