开放的DNS服务器正在毒害互联网

Google和乔治亚州技术学会的研究人员正在研究一种几乎不可检测的攻击形式，这种攻击能够控制受害人访问互联网时所去的地方。这项将于来年二月份发布的研究，密切地关注了“开放式回归”DNS服务器。DNS服务器通过将google.com等域名翻译成数字的IP协议地址(即IP地址)，告诉计算机如 何查找互联网上的其它计算机。犯罪份子正使用这些服务器，并结合新的攻击技术发动新一代的钓鱼攻击。

研究人员估计，互联网上有1700万种开放式回归DNS服务器，其中的极大多数都能给出精确的信息。不像其它的DNS服务器，开放式回归系统会回答来自互联网上的任何计算机的所有DNS轮询请求，这个特性对黑客特别有用。

研究人员估算，有0.4%(约68000台)的开放式回归DNS服务器正在作恶，将虚假的回答返回给DNS请求。他们还估计还有2%的这种服务器提供可疑的结果。研究人员警告说，这些服务器结合在一起，开始形成一种DNS的“二级秘密权威”，它破坏着互联网的可信赖性。

这项调查的论文合著者之一David Dagon说，“这是一种鲜有人发现的犯罪，不管你问这些主机什么，他们都会高兴地将你导向到一个危险地方，或者一个充斥着各种广告的Web服务器上。”

对DNS系统的攻击并不新鲜，Dagon说，在线的攻击改变受害人计算机上的DNS设置至少有四年之久，不过只是近来作恶者才以一种更普遍的方式发动这种特别的攻击。最初这种攻击使用计算机病毒进行改变，近来攻击者们已经依赖于基于Web的恶意软件。

这里说说这种攻击是如何进行的。一个受害人有可能访问一个Web站点或打开一个恶意的电子邮件附件，这会利用用户计算机上某个软件的一个漏洞。然后攻击者们会改变Windows注册表设置中的一个文件，告诉PC转到罪犯的服务器上查找所有的DNS信息。如果最初的漏洞利用代码没有被反病毒软件阻止，这种攻击会将对用户计算机的控制权交给攻击者，这几乎无法检测。

一旦他们改变了Windows设置，犯罪份子会在多数时间将受害人带到正确的Web站点，不过在他们需要时，特别是在一次银行业务操作过程中，他们会突然将用户引向钓鱼站点。因为这种攻击发生在DNS级别，所以反钓鱼软件无法识别骗人的站点。

Dagon说，或许一位攻击者只是完全控制受害人的互联网经历。“如果你查看Christian Science Reading Room站点，他们会将你指向某个毛皮珍品站点上。”

IBM的互联网安全系统分部(Internet Security System)首席技术长官Chris Rouland说，“这简直是一个最大的后门。”

Rouland认为在未来的几个月中，会看到从WEB2.0站点发动的更多的DNS攻击，因为它们使得人们能够从许多不同的源轻而易举地“捣碎”Web网页，其中有些源是不可信任的。他说，“这是真正的下一代钓鱼。”

Dagon的 初步研究显示，Web是这些攻击的一个重要媒介。研究人员利用谷歌的网络浏览工具发现了2100多个网页能够利用漏洞来改变访问者的Windows注册表。

研究人员的论文称为《Corrupted DNS Resolution Paths》，将在圣地亚哥的网络和分布式系统安全讨论会(Network and Distributed System Security Symposium (NDSS))上发布。它由来自乔治亚州技术学会的Chris Lee和 Wenke Lee，以及来自谷歌的高级工程师Niels Provos合著。

去年，Dagon 和Wenke Lee发起成立了Damballa，他们正开发防护这种攻击的方法。

Damballa将自己定为一个反僵尸网络设备厂商，能够通过跟踪机器是否与已知的恶意DNS服务器通信，从而识别被损害的计算机。