【TechTarget中国原创】根据DNS达人Kaminsky的最近的一项研究，全球超过130万的域名服务器仍然存在漏洞，黑客会轻而易举的搞垮网站和邮件服务器。

DNS服务器是Internet的地址本。他们将URL译成IP地址，使客户端和服务器通过Internet进行沟通。

七月份，安全专家Dan Kaminsky称他发现了DNS协议中的一个漏洞。DNS漏洞允许黑客模拟任何网站并给不知情的客户设下陷阱。黑客还可以利用该漏洞来破坏公司的业务，使DNS系统误导电子邮件和网站查询。通过这个漏洞，黑客制造出一个cache poisoning攻击，对DNS服务器进行大量查询，诱骗服务器将URL误连到其他的IP地址上。Kaminsky正在与DNS厂商合作制作这个漏洞的补丁。

DNS管理技术厂商Infoblox日前结束了关于DNS服务器的第四个年度调查。Infoblox副总裁Cricket Liu称，此次调查发现全世界共有域名服务器1190万台。

Liu说将近11%的DNS服务器，约130万台存在着Kaminsky漏洞。换句话来说，也是没有人给这些服务器打了补丁。他说：“脚本和Metasploit会在短短的十秒钟内危害到一台域名服务器。这是个非常糟糕的结果。更一方面，我们感到很欣慰的是在过去的三个月里剩余的服务器被打了补丁。”

Liu说防范Kaminsky漏洞的第一步是重新配置DNS服务器，只允许非递归的询问。递归DNS服务器允许任何来源的的域名查询。当服务器被设置为只允许非递归查询后，服务器将只接受权威域名的查询。

Liu说44%的DNS服务器是递归查询配置，而2007年递归查询服务器的比重占到了52%。

他说：“那些开放的域名服务器中毒风险更大。它们也很容易被用于分布式拒绝服务攻击对Internet上的人进行攻击。”

防范Kaminsky漏洞的第二步是配置DNS服务器为随机端口查询。Liu称该配置引导服务器将每次查询发送到一个随机的端口，使得黑客很难对服务器进行攻击。

Liu说：“黑客不得不猜测查询从哪个端口来，你也必须尝试随机向不同的源端口发送查询反馈。”

Liu说，防范Kaminsky漏洞的最根本的措施是升级DNS服务器到DNSSEC（DNS Security Extensions），这是对DNS协议的一系列的完善，当上载到DNS服务器时就会提高DNS服务器的安全性。但遗憾的是，在大多是企业里对DNS的管理都是滞后的，DNSSEC的实施也显得非常不重要。

在线DNS管理工具供应商DNSstuff.com的CTO Paul Parisi说，该公司最近对其用户的450台服务器进行了调查，结果表明9.6%的用户称他们并没有对防范Kaminsky漏洞对服务器打补丁，而另外21.9%的用户不知道服务器是否已经打了补丁。

Parisi说：“这个数字在我们这个客户群体中是非常惊人的，因为这些用户都是应用了我们的工具来管理DNS的。”

他说Kaminsky漏洞可能造成的缓存病毒应该是最值得重视的。DNSstuff的调查表明44.1%的用户认为DNS数据的准确性和相关性是他们管理中的最大挑战。

Parisi说：“人们这方面的意识有所提高，但调查表明一些人在管理DSN服务器方面需要一些帮助。他们需要最好的方案。因为DNS是你不经常接触的，所以一些小错误就会引起很大的麻烦。适当的DNS报告和管理是人们目前所需要的。”