BIND9处理递归响应不当远程拒绝服务漏洞.PDFVIP

BIND 9 处理递归响应不当 远程拒绝服务漏洞 技术分析与防护方案 发布时间：2016 年11 月4 日 综述 2016 年11 月1 日（当地时间），ISC 互联网系统协会（Internet Systems Consortium）官网发布了一个关于BIND 9 项目的安全公告，公布了编号为 CVE-2016-8864 的漏洞。BIND 9 服务器在处理包含DNAME 记录的递归查询响应 时，会在resolver.c 或db.c 的代码中遇到断言错误，程序随即会停止运行。 该漏洞允许攻击者远程发起拒绝服务攻击。详情请见如下链接： /article/AA-01434 什么是BIND (引用自《维基百科》) BIND （Berkeley Internet Name Daemon）是现今互联网上最常使用的DNS 服务器软件，使用BIND 作为服务器软件的DNS 服务器约占所有DNS 服务器的九 成。BIND 现在由互联网系统协会（Internet Systems Consortium）负责开发 与维护。 @绿盟科技2016 影响的版本  BIND 9 version 9.0.x - 9.8.x  BIND 9 version 9.9.0 - 9.9.9-P3  BIND 9 version 9.9.3-S1 - 9.9.9-S5  BIND 9 version 9.10.0 - 9.10.4-P3  BIND 9 version 9.11.0 不受影响的版本  BIND 9 version 9.9.9-P4  BIND 9 version 9.10.4-P4  BIND 9 version 9.11.0-P1 另外，不受影响的版本中还包括一个专门为符合条件的客户所提供的预览版：  BIND 9 version 9.9.9-S6 绿盟威胁情报中心NTI 对Memcached 多个整数溢出漏洞全 球影响分析 (1) 全球漏洞分布情况 截止到今天，我们统计全球范围内存在此安全漏洞的设备数量就已经达到 70,392 个。 这些受此漏洞影响的设备数量最多的国家是美国，占全部的43.13%，其次 是俄罗斯联邦，占10.7%，第三是中国，占8.58%，剩余国家分别是印度、瑞 典、印度尼西亚、巴西、德国、乌克兰、保加利亚等。 Top20 国家的受此漏洞影响的设备数量占全球总数的92.83%，其余7.17%的 设备分散于其他国家和地区内。 @绿盟科技2016 图1 受此漏洞影响的设备全球分布图 图2 全球受此漏洞影响的分布国家TOP20 占比 @绿盟科技2016 图3 G20 成员国受影响暴露面 (2) 中国地区受此漏洞影响的设备分布情况 中国各省份及地区分布的受此漏洞影响的设备总数量达6039 个。其中台湾 地区所占数量最多，有1752 台设备受影响，其次是北京、山东、黑龙江等地 区。 TOP10 省份的受此漏洞影响的设备数量占中国总数的94.04%。其余5.96%的 数量分散于其他省份或地区内。 @绿盟科技2016 图4 受此漏洞影响的设备中国各省份分布图 @绿盟科技2016 图5 受此漏洞影响的设备中国各城市分布图 图6 受此漏洞影响的设备中国TOP10 省份排名 漏洞分析 (1)漏洞成因 当BIND 开启递归查询，其在处理包含特殊DNAME 请求的递归响应时，逻辑 处理不当，会遇到断言错误，导致拒绝服务。发生的断言错误分别位于文件 /lib/dns/