DNS 服务器对 DNS 服务器缓存窥探攻击的漏洞

本文提供了 DNS 服务器漏洞受到 DNS 服务器缓存窥探攻击的问题的解决方案。

适用于： Windows Server 2012 R2
原始 KB 编号： 2678371

症状

什么是“DNS 缓存窥探”，如何防止它？ 将 DNS 缓存窥探描述为：

DNS 缓存窥探是指有人查询 DNS 服务器以找出 (窥探) DNS 服务器是否缓存了特定的 DNS 记录，从而推断 DNS 服务器的所有者 (或其用户) 最近是否访问了特定站点。
这可能会显示有关 DNS 服务器所有者的信息，例如他们使用的供应商、银行、服务提供商等。 特别是如果确认了这一点， (在一段时间内多次窥探) 。
此方法甚至可以用于收集统计信息-例如，DNS 服务器的所有者通常在什么时间访问其网络银行等。缓存的 DNS 记录的剩余 TTL 值可以提供非常准确的数据。

即使 DNS 服务器未配置为以递归方式解析第三方，只要 DNS 服务器也向第三方提供记录，DNS 缓存侦探也是可能的。

安全审核可能会报告，各种 DNS 服务器实现都容易受到缓存窥探攻击的攻击，这些攻击允许远程攻击者识别[最近]由给定名称服务器解析的域和主机。

一旦此类缓存窥探漏洞报告显示：

DNS 服务器缓存窥探远程信息泄露
简介：
远程 DNS 服务器容易受到缓存窥探攻击。
说明:
远程 DNS 服务器响应未设置递归位的第三方域的查询。 这可能允许远程攻击者确定最近通过此名称服务器解析了哪些域，因此最近访问了哪些主机。 例如，如果攻击者对你的公司是否利用特定金融机构的联机服务感兴趣，他们将能够使用此攻击来构建有关公司使用该金融机构的统计模型。 当然，攻击还可用于查找 B2B 合作伙伴、Web 冲浪模式、外部邮件服务器等。 注意：如果这是无法访问外部网络的内部 DNS 服务器，则攻击仅限于内部网络。 如果支持，这可能包括来宾网络或 WiFi 连接上的员工、顾问和潜在用户。
风险因素：
中
CVSS 基本分数：5.0
CVSS2#AV：N/AC：L/Au：N/C：P/I：N/A：N
另请参阅：
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
解决 方案：
请联系 DNS 软件的供应商进行修复。

原因

此错误通常在递归的 DNS 服务器上报告。

解决方案

没有代码修复，因为这是一个配置选择。

There are three options:

1. 如果 DNS 服务器停留在不受信任的客户端无法访问的公司网络上，则保持递归启用状态

2. 不允许对执行递归的 DNS 服务器进行公共访问

3. 禁用递归

更多信息

默认情况下，Microsoft DNS 服务器配置为允许递归。

可以在 Microsoft DNS 服务器上全局禁用名称递归，但不能基于每个客户端或每个接口禁用名称递归。

大多数 Microsoft DNS 服务器都与域控制器服务器角色一起拼结。 此类服务器通常托管区域并解析设备的 DNS 名称 |Active Directory 林中的设备、成员客户端、成员服务器和域控制器，但也可能会解析公司网络较大部分的名称。 由于 Microsoft DNS 服务器通常部署在企业网络上的防火墙后面，因此不受信任的客户端无法访问它们。 此设置中的服务器的管理员应考虑是否必须禁用或限制 DNS 递归。

全局禁用递归不是配置更改，应该掉以轻心，因为这意味着 DNS 服务器无法解析未在本地保存的区域上的任何 DNS 名称。 这需要一些仔细的 DNS 规划。 例如，客户端通常不能直接指向此类服务器。

必须根据 DNS 服务器在部署中应扮演的角色来决定禁用递归 (或不) 。 如果服务器要为其客户端递归名称，则无法禁用递归。 如果服务器旨在仅从本地区域返回数据，并且永远不会针对客户端进行递归或转发，则可能会禁用递归。

相关链接

• 在 DNS 服务器上禁用递归
• 在 DNS 服务器上禁用递归
• DNS 查询的工作原理
• 递归和迭代查询
• 递归名称解析