知道创宇安全研究团队    2015 . 04. 23

本文 PDF 下载：2015-08-05-ISC-BIND查询拒绝服务漏洞报告

---

 

1. 漏洞描述

ISC BIND是美国Internet Systems Consortium（ISC）公司所维护的一套DNS域名解析服务软件。该软件被披露存在拒绝服务漏洞，由于TKEY查询的错误可导致BIND服务器发生REQUIRE断言失败并停止服务，攻击者利用漏洞可恶意构造数据包，导致TKEY记录查询错误，进而导致BIND服务器发生REQUIRE断言失败并停止服务。CNVD对该漏洞的综合评级为“高危”。

漏洞影响BIND 9所有版本（包括BIND 9.1.0版本至BIND 9.9.7-P1， BIND 9.10.0至BIND 9.10.2-P2版本），互联网上对应版本的递归服务器和权威服务器均受到该漏洞影响。根据实际使用情况评估，尽管TKEY查询功能使用较少，但由于基于漏洞构造的恶意攻击包有可能存在极强的前置条件，即使在服务器上配置访问控制列表或限制（拒绝）相关配置选项，也不能有效防范漏洞攻击。

BIND查询拒绝服务漏洞能让黑客远程非授权对BIND所在服务器进行攻击，直至该DNS服务器崩溃，因为BIND句柄的TKEY查询中出现了bug，一个简单的UDP包就可以导致BIND服务器出现“assertion failure”错误，进而服务器上的DNS服务守护进程会结束。

DNS服务器使用方建议查找DNS日志里有没有“ANY TKEY”之类的关键词来判断是否该漏洞。

示例DNS攻击日志如下：

上面的日志例子就是一个黑客EXP留下的信息。这还需要通过rndc querylog on命令启用querylog来实现。

2. 影响范围

2015年8月初，知道创宇ZoomEye团队对全国DNS服务器进行了摸底探测，发现国内共有420084台DNS服务器。其中使用ISC BIND服务的服务器有29,913台，占总量的7.1%。

我国使用ISC BIND的服务器占全国比例已达到7.1%，对我国基础网络稳定有较大的威胁，一旦遭受网络攻击将引发dns服务异常，从而会导致大范围网络中断。

2.1 使用ISC BIND的服务器地域分布

使用ISC BIND的服务器地域分布TOP10如图1所示。

图1 使用ISC BIND的服务器地域分布TOP10

我国使用ISC BIND的服务器地域分布前五名分别是：北京 6,446台 （占我国使用ISC BIND的服务器总数的21.55%） , 广东3,684台（占比12.3%），上海2,712台（占比9.07%），江苏 1，955台（占比6.54%），浙江1，913台（占比6.40%）。

全国DNS服务器 ISC BIND 使用率TOP10，如图2所示：

图2全国DNS服务器 ISC BIND 使用率TOP10

目前，我国DNS的服务器地域分布中，北京、上海、浙江等地服务器使用ISC BIND服务占比较高，一旦遭受攻击，大量使用ISC BIND服务的城市将会有严重的网络瘫痪。

2.2 使用ISC BIND的服务器版本分布

图3 使用ISC BIND的服务器版本比例

2.3 使用ISC BIND服务的网络服务提供商分布

我国DNS服务器网络服务提供商分布如图4所示：

图4 我国DNS服务器网络服务提供商分布

而使用ISC BIND服务的网络服务提供商分布如图5所示。

图5 使用ISC BIND服务的网络服务提供商比例

由以上统计比例可知，我国使用ISC BIND的网络服务提供商中，前三名分别是中国电信（占比42%）、中国联通（占比25%）和中国移动（占比8%），以上三家网络服务提供商的在我国拥有大量用户，一旦黑客发起大规模攻击，电信、联通服务器首当其冲将会引发连锁反应。

3. 解决方案

目前， 厂商已经发布了漏洞修补程序。知道创宇提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。建议相关用户升级到BIND 最新版本。

下载地址：http://www.isc.org/downloads。