Raport o stanie serwerów DNS w Internecie

Ponad połowa serwerów DNS w Internecie jest skonfigurowania niepoprawnie. Taki jest podstawowy wniosek z badań internetowych serwerów nazw opublikowanych przez firmę Measurement Factory, dostarczającą urządzenia DNS.

Jest to drugi już, doroczny raport na temat stanu światowej sieci DNS. Niepoprawnie skonfigurowane serwery DNS narażają sieci na ataki wykorzystujące fałszowanie adresów domen.

W raporcie z badań stwierdzono, iż ponad połowa serwerów DNS w Internecie dopuszcza rekursywne usługi nazw. Jest to forma usługi określenia adresu IP dla nazwy domeny, która często wymaga przekazania takiego zlecenia do innego serwera nazw.

Zobacz również:

Dopuszczenie tego rodzaju usługi naraża sieć na atak (wykorzystujący efekt tzw. 'zatrutego bufora'), w którym użytkownik jest kierowany na fałszywą stronę, często w celu wyłudzenia informacji osobistych.

Taki rodzaj usługi w serwerach nazw nie jest potrzebny, ale w serwerach sterowanych przez BIND 9 konfigurowany jest domyślnie.

Inny problem konfiguracyjny DNS, który stwierdzono u 29 proc. serwerów, to dopuszczenie transferu strefy dla przypadkowego zleceniodawcy. Transfer strefy kopiuje dane DNS z jednego serwera na inny i może być wykorzystany do ataku DNS na te serwery.

Kolejne wnioski z badań są następujące:

- liczba serwerów DNS wpiętych do Internetu wzrosła w ostatnim roku o 20 proc. - do 9 milionów. Większość z nich przybyła w Europie i Azji. Wiele serwerów DNS zagnieżdżanych jest obecnie modemach kablowych i bramkach telefonicznych.

- Liczba serwerów DNS pracujących na najnowszej wersji oprogramowania open source BIND 9, z Internet Software Consortium, a nie na BIND 8, wzrosła z 58 proc. w roku 2005 do 61 proc. w br.

- Tylko dwa z każdego tysiąca serwerów DNS obsługuje .

- W praktyce nie używany jest DNSSEC - standard uwierzytelniania danych DNS. Tylko 100 tys. z 9 milionów serwerów obsługuje ten standard.