发布日期：2000-02-16
更新日期：2000-02-16

受影响系统：

ISC BIND 8.2.2
ISC BIND 8.2.1
ISC BIND 8.2
   - Slackware Linux 4.0
   - RedHat Linux 6.1
   - RedHat Linux 6.0
   - RedHat Linux 5.2
   - RedHat Linux 5.1
   - RedHat Linux 5.0
   - RedHat Linux 4.2
   - RedHat Linux 4.1
   - RedHat Linux 4.0
   - IBM AIX 4.3.2
   - IBM AIX 4.3.1
   - IBM AIX 4.3
   - Caldera OpenLinux 2.2
   - Caldera OpenLinux 1.3
ISC BIND 8.1.2
ISC BIND 8.1.1
ISC BIND 8.1
ISC BIND 4.9.7-T1B
ISC BIND 4.9.7

描述：

---

很多DNS服务器的缺省设置存在一个漏洞，可能导致拒绝服务攻击。如果一个域名服务器
允许远程主机向它查询其他域(它本身并不管理这些域)的域名，就是所谓允许递归查询，
就可能导致网络流量的异常增大。单个主机引起的流量增大可能并不能导致拒绝服务攻击
的产生，但是利用DNS的分级方式的弱点，可能引发对单个站点的大量数据流量，阻塞正常
的网络交通服务。

这个问题出在当域名服务器收不到某域权威服务器的域名解析应答时的处理方式上。
当域名服务器接收到一个域名解析请求时，它往往会转发给上一级的DNS服务器.如果这个
查询请求不能被解析，因为其权威域名服务器上没有启动DNS服务或是没有应答。每个转发
的服务器将会试图自己解析，通常会重试三次（分别在0秒，12秒，24秒时）甚至更多。在
这种情况下，该域名所在网络的流量就明显增大了。通过使用大量的域名服务器做这种查
询，可能导致向目标网络发送大量数据,造成拒绝服务攻击。
攻击者也可利用这种漏洞来发现目标网络的域名查询的路线。


<* 来源: scut / TESO <scut@NB.IN-BERLIN.DE>
   相关链接: http://teso.scene.at/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://teso.scene.at/releases/adv3.tar.gz

建议：

---

禁止来自其它主机的递归查询，只允许从信任主机或网络查询可以避免使你的主机成为
这种攻击的工具。
对于被攻击的主机，没有很容易的方法来使其免遭攻击。对于没有运行DNS服务器的主机
,应过滤掉所有流向它们的53号端口的数据包。但这只能使这种类型的包不能到达防火墙
后，这些包仍然会占用你的带宽。另一种可能的方法是，在正受攻击的主机上建立一个
假的DNS server,对于所有的查询都应答一些虚假信息。

浏览次数：7259
严重程度：0（网友投票）