家庭、SOHO设备不需要DNS。
根据本月早些时候提交给Usenix安全研讨会的一项研究,路由器供应商,特别是家庭/SOHO市场,在实施DNS缓存方面非常糟糕,他们应该放弃这一功能。
由Philipp Jeitner、Haya Shulman、Lucas Teichmann和Michael Waidner组成的德国跨机构研究小组发现许多路由器容易受到 “通过误解特殊字符注入虚假[DNS]记录 “的影响,而且 “在36台路由器中,有15台旨在防止[DNS]缓存中毒攻击的机制可以被规避。”
DNS,即域名服务,是告诉用户的计算机谷歌可以在IPv6地址2404:6800:4006:814::200e:找到的查询机制。
路由器实现了DNS缓存,因为在前宽带时代,对DNS查询的响应可能很慢;如果记录没有保存在缓存中,路由器就会将DNS请求转发到上游的ISP。
然而,正如作者在《XDRI攻击–以及–如何增强住宅路由器的复原力》中写道,供应商的DNS实现中的错误非常普遍,他们应该改用标准的DNS软件,如BIND。
甚至更好的是,不要费心在用户的网络中执行DNS功能。研究报告说:”删除DNS可以提高路由器和客户网络的弹性,而不会有明显的性能损失”。
“在我们的互联网范围内的广告网络研究中,我们确定并分析了976个住宅路由器……其中超过95%的路由器被发现有漏洞。
“总的来说,易受攻击的路由器很普遍,分布在177个国家和4830个网络中”。
研究人员使用的攻击主要集中在注入特殊字符来毒害路由器的DNS缓存。
研究人员发现有漏洞的设备的供应商包括华硕、AVM Fritz!Box、D-Link、Linksys、思科,以及CenturyLink、Telekom和Vodafone的ISP品牌设备。
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/basis/routing/202208302154.html
微信扫一扫 
支付宝扫一扫 