Solidot

2008年，研究人员发现DNS（域名服务器）存在严重漏洞，能导致DNS缓存中毒，使攻击者能在目标域名服务器缓存内植入恶意DNS记录，欺骗访问者浏览恶意网站。虽然多家开发商紧急联合发布了一个修复漏洞的补丁，但此事让业界意识到DNS的缺陷，他们开始着手推广DNSSEC（DNS安全扩展）协议，它通过在域名记录中加入数据，插入加密信息验证域名的可靠性。.org是第一个签约实施域名安全扩展(DNSSEC)的通用顶级域名，现在管理.com和.net域名的VeriSign公司宣布(中文)将在在2011年第一季度之前为这两类域名增加测试，逐渐实施DNSSEC。

《MIT技术评论》报道，互联网的核心元素，帮助百万电脑系统定位的DNS（域名服务器）迫切需要升级。DNS就像互联网的电话簿，将输入浏览器的URL转换成数字地址，识别请求访问网站的服务器。最近DNS暴露出的严重漏洞显示，这一有30年历史的系统已经显露出它的疲态。 DNS问题在于用户无法知道应答的来源是否正确或者是否包含正确的数据，即毫无防备的用户在冲浪时会被引入到其它恶意网站，或出于某种目的设立的网址（如令用户痛恨不已的DNS劫持事件）。现在多数专家都指望带有数字签名验证的域名系统安全协议（Domain Name System SECurity，DNSSEC）能修正该问题。Dan Kaminsky曾对DNSSEC持中立，但现在认为它是一个好的解决方法。是时候让DNS变得更安全了。

从理论走向实践无需多长的时间。ZDNet报道，著名黑客兼Metasploit创始人HD Moore发布了Dan Kaminsky年初发现的DNS缓存中毒漏洞的攻击代码。利用该漏洞，攻击者能在目标域名服务器缓存内植入一恶意DNS记录。DNS服务器会在本地缓存从其他DNS服务器所接收到的响应。DNS缓存中毒攻击指的是更改了DNS服务器的DNS缓存中某项，这样缓存中与主机名相关的IP地址就不再指向正确的位置。通过漏洞，黑客可以让DNS服务器接受到一个欺骗性响应，包括回复查询，已验证服务器记录和额外的服务器记录。

前一段时间，开发商联合发布了修复DNS严重漏洞的补丁，黑客可以用此漏洞操控域名服务器。漏洞发现者Dan Kaminsky一直严守着该秘密，他表示补丁发布不会透露漏洞的细节，逆向工程没有直接实现的可能。他错了，逆向工程专家Halver Flake在博客上写下了他的推断。很显然，推测与事实非常接近，这引起了Matasano安全团队的一位成员的注意，他之前已经了解到攻击情况。随后他发表了一篇标题为“Reliable DNS Forgery in 2008”的帖子，文章已被删除，但是证据已经被Google收录，并被无数人转载。现在还有许多域名服务器没有打上补丁，黑客完全了解到漏洞的细节只是个时间问题。