涉及程序： BIND 4/8 描述： BIND 4/8 DNS欺骗攻击缺陷 详细： Berkeley Internert Name Domain(BIND)是我们所熟知的域名软件，它具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。 来自DIMAp/UFRN（计算机科学和应用数学系/北格兰德联邦大学）的CAIS/RNP(Brazilian Research Network CSIRT)和Vagner Sacramento对BIND的几种版本进行了测试，证明了在BIND版本4和8上存在缺陷，攻击者利用这个缺陷能成功地进行DNS欺骗攻击。 如果攻击者以不同的IP源地址，相同的域名同时向一目标DNS服务器发送若干个解析请求时，目标DNS服务器为了解析这些请求,将会将接收到的请求全部发送到其它DNS服务器。由于这些解析请求都被单独进行处理，并分配了不同的ID，因此在目标服务器等待这些不同ID的回复时，攻击者可尝试使用不同ID向目标DNS服务器发送回复，通过猜测或穷举得到正确的回复ID，以便进行DNS欺骗攻击。在BIND4和BIND8中猜测成功的机率是： n /65535 n 是同时向目标DNS服务器发送请求的数目。 许多Internet的正常服务都必须依赖于DNS服务。因此,如果此缺陷被成功利用,将会影响网络中的其它服务。攻击者能使用DNS欺骗进行拒绝服务攻击或者伪装成一个受信任系统。 受影响版本： BIND 4.9.11以及之前的版本(4.9.x) BIND 8.2.7以及之前的版本(8.2.x) BIND 8.3.4以及之前的版本(8.3.x) 攻击方法： 暂无有效攻击代码 解决方案： 建议用户立即升级到版本 BIND 9.2.1 ： http://www.isc.org/products/BIND/bind9.html 临时解决方案： ·配置DNS服务器仅仅允许在自己的域内使用递归； ·在防火墙或边界路由器上进行防欺骗配置； ·将DNS服务器放置在DMZ内。