立即修補DNS漏洞

在詐騙橫行的今日，如果電話查號臺被詐騙集團劫持了，而且詐騙集團還偽裝成查號臺繼續服務，提供錯誤的電話號碼給民眾，例如，民眾要查詢某家銀行的電話，這個假的查號臺就提供一個由詐騙集團偽裝的電話，那麼民眾不知不覺中就落入詐騙集團的圈套，任人宰割了。

在真實世界中，電話查號臺被劫持的可能性頗低，上述情節要發生的機率很低。然而，在網路世界裏，一個類似的狀況卻有可能會發生，那就是DNS快取污染的問題（DNS Cache Poisoning）。

美國電腦緊急應變小組（US-CERT）日前已經發出DNS伺服器漏洞的通報，但近日IOActive公司的安全研究員Dan Kaminsky證實了，以DNS漏洞來發動攻擊的可能性，於是US-CERT又再度於8月1日更新警告通報，呼籲大家要重視DNS設計上的漏洞，趕緊修補，以避免被利用來發動DNS快取污染攻擊，而造成波及大量電腦的資安事件。

我們要瀏覽網際網路，通常是在瀏覽器輸入URL，像是www.ithome.com.tw，而不是輸入IP位址（像是192.168.1.1），因為我們不容易記住一長串的數字。要由URL轉換為IP，就需要藉助DNS的查詢服務。當使用者輸入網站的URL之後，電腦就會對DNS伺服器發出查詢請求，DNS伺服器會查詢是否有該URL的IP位址記錄，如果沒有，就會再進一步往上請求根伺服器查詢，一旦查到了URL所對應的IP位址之後，DNS伺服器就會回覆，電腦就根據所接收的IP位址去連結網站。

DNS服務很像是電話查號臺一樣，只是一般人是在不知道電話號碼的情況下才會使用查號服務，而DNS服務卻是每次上網都得使用。問題來了，如果DNS服務像上述的查號臺被劫持的情況一樣，提供給使用者錯誤的IP位址，那麼電腦使用者就會在不知不覺中連上惡意網站。以現今的惡意手法來看，缺乏足夠防護的電腦一旦連上網站，整臺電腦極有可能就會被完全掌控，不僅是資料外洩，更會被惡意人士拿來當做傀儡電腦，對其他目標發動攻擊。

由於DNS先天上設計的不足而讓駭客有可乘之機（例如TXID只有16位元的長度），Dan Kaminsky日前證實了，可以用假冒的DNS伺服器來劫取用戶電腦要查詢DNS的訊息，並回報給使用者假冒網站的IP位址，而使用者的電腦只會信以為真，並無法辨識出是假冒的DNS伺服器所傳回的訊息。

因為這是先天設計上的問題，因而多數的DNS伺服器都有相同的漏洞，據Dan Kaminsky後續的追蹤，仍有半數的DNS伺服器尚未修補相關漏洞。對企業而言，現在有必要檢視DNS的漏洞問題，目前已有一些網站提供免費的線上檢測服務，可立即診斷DNS的漏洞。及早發現漏洞，就能早一點要求ISP修補，以避免資安事件的發生。請見本期深度報導的分析。

此外，本期封面故事報導遠端備份的新作法，藉由重複資料刪除技術與網路備份的配合，企業將更容易實現每天將大量資料備份到異地。以往，面對備份資料量大、網路頻寬不足的兩難，要把每天的備份資料備存在異地，通常的作法是把磁帶載運到異地端，現在，有了重複資料刪除技術，可以先把每日備份的資料量大幅縮減，就能實現透過網路將備份資料傳到異地機房了，請見本期封面故事的分析。