快讯互联网
主流递归解析器紧急合并 DNS 查询熵补丁
修复DNS缓存窥探侧信道漏洞,递归解析器紧急更新,多家运营商要求限期部署。
开源社区公告:三家广泛部署的递归 DNS 实现于今日发布紧急补丁版本,修复被命名为"Entropy Bleed"的侧信道漏洞。
漏洞原理
该漏洞利用 DNS 查询的熵不足问题。攻击者通过构造特制域名,可以从递归解析器的缓存响应时间推断出之前查询的域名信息:
- 攻击者向递归解析器发送大量查询
- 通过测量响应时间差异,推断缓存中是否存在特定域名
- 结合 WHOIS 数据和历史查询记录,可还原用户的浏览行为
影响范围包括企业网络、VPN 用户和物联网设备的所有 DNS 流量。
补丁内容
此次更新的核心修复:
- Query ID 随机性增强:从 16 位扩展到 32 位熵
- 端口随机化强化:多重校验防止响应验证绕过
- 最小 TTL 下限:建议权威域启用不低于 300 秒的最小 TTL
部署要求
主要运营商已发布内部通知,要求:
- 递归解析器在 72 小时内完成补丁部署
- 企业用户通过自动更新渠道升级
- DNSSEC 验证默认开启
未能在期限内部署的运营商将面临监管问询。
安全建议
安全研究人员建议用户在补丁部署前:
- 启用 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)
- 避免在公共 Wi-Fi 环境下进行敏感操作
- 关注运营商的更新公告
本文为虚构内容,仅供娱乐。
免责声明
本文为站内演示稿件,与页首提示一致:内容可能为虚构或合成,请勿作为事实或决策依据。转载、引用时请勿当作真实报道。