超過8成的DNS伺服器有被攻擊的可能性

由The Measurement Factory委託Infoblox針對130萬台DNS（Domain Name System；網域名稱系統）伺服器所做的調查發現，有高達84%的DNS伺服器有遭受「網址嫁接」（pharming）及DoS（denial of service，阻斷服務）攻擊的可能性。

主因在於這些DNS伺服器提供無限制的網域名稱遞迴（recursion）服務，這種服務會轉送該名稱伺服器的資料給來自Internet的任何查詢。

應用產品供應商Infoblox架構服務副總裁Cricket Liu指出，光是提供遞迴並不是造成駭客在DNS上下毒的唯一要件，但的確會比較危險。

「網址嫁接」是網路釣魚（phishing）詐騙手法的一種延伸，網路釣魚主要的詐騙對象是使用者，駭客以偽裝的網址或網頁誘使使用者填入個人資料或刷卡消費；而「網址嫁接」則是入侵到DNS伺服器，利用DNS的轉址功能，將使用者填入的網域名稱嫁接到偽造的網站上。

The Measurement Factory在調查中發現，有超過4成的DNS伺服器上，用來辨別網域名稱的軟體已經過期，而且可能是不安全的，因為它容易使駭客更改DNS伺服器上的IP位址，進行「DNS快取記憶體下毒」（DNS Cache Poisoning），將網友輸入的網域名稱導引到偽造的網站。

另外也有40%的DNS伺服器開放zone transfer功能，能夠允許任何複製DNS伺服器上的資料到另一臺DNS伺服器的要求，這可能會導致DoS攻擊。

Infoblox強調DNS伺服器的安全重要性，指出若沒有這些DNS服務，網友將不能傳送電子郵件、也無法造訪網站，因此建議這些DNS伺服器應只開放給少數能夠辨識的傳輸要求。

大多數的DNS伺服器供應商都同時提供開放zone transfer與遞迴功能的系統，因為這樣較方便進行系統設定，但同時也較易危害系統安全。編譯／陳曉莉