你一定了解保护外部名称服务器的重要意义,但DNS 客户机又如何呢?两种以客户机为中心的新漏洞急需关注。 在讨论DNS安全性时,我通常会强调保护名称服务器的重要性。例如,我总是鼓励管理员禁用或限制对外部名称服务器上递归内容的访问。但最近出现的两种漏洞都是有针对性地执行其破坏活动的存根解析器(即DNS客户机),分别是与Web代理自动发现协议(WPAD)相关的问题和涉及恶意解析器重新配置的漏洞。这些漏洞究竟是什么?该怎样处理它们? WPAD
第一种漏洞涉及WPAD,这是一种允许Web浏览器自动检测应使用的代理设置的协议。实际上,支持WPAD的Web浏览器使用DNS来查找名称wpad,连接到返回的地址中的Web服务器,检索名为wpad.dat的代理自动配置文件。 随后,浏览器从该文件中读取其代理配置。想法是为管理员提供一个“挂钩”,用于从一个点为其组织内的所有浏览器指定代理配置。目前,Internet Explorer(IE)、Mozilla Firefox和Opera都支持这种机制。 乍看起来,WPAD似乎无害,但它可通过无法预测、不合需要的方式与搜索列表交互——用Windows的语言来说,DNS后缀搜索列表或DNS后缀搜索次序。搜索列表是一系列域名,附在浏览器地址栏或命令行中指定的名称上。例如,假设你的搜索列表包含名为subdomain.company.com 和
compan.com的域名,在浏览器地址栏中键入:
http://foo 浏览器就会首先查找foo.subdomain.company.com,然后(如果查找操作未返回地址)再查找foo.company.com。搜索列表也适用于浏览器的内部名称wpad的查找。 …
上述内容选自《Windows IT Pro Magazine国际中文版》2008年第6期,更多精彩内容,敬请参阅这儿,订阅《Windows IT Pro Magazine国际中文版》,请点击这儿。 关于作者
Cricket Liu,是Infoblox的架构副总裁,是技术社区的联络人。他是一位DNS 权威,是O’Reilly 出版的关于DNS 的NutshellHandbooks(包括经典的DNS 和BIND)的合著者。你可以通过cricket@infoblox.com与他联系。 全文共1720字节 |
