DNS快取中毒,也稱為DNS欺騙,是一種利用域名系統(DNS)中的漏洞將Internet流量從合法伺服器轉移到假冒伺服器的攻擊。
DNS中毒如此危險的原因之一是它可以從一個DNS伺服器傳播到另一個DNS伺服器。2010年,一次DNS中毒事件導致中國的防火牆暫時逃離了中國的國界,對美國的網際網路進行審查,直到問題得到解決。
當您的計算機與域名聯絡時,如“谷歌網站,“它必須首先聯絡它的DNS伺服器。DNS伺服器用計算機可以訪問的一個或多個IP地址進行響應谷歌網站. 然後,您的計算機直接連線到該數字IP地址。DNS轉換人類可讀的地址,如“谷歌網站到計算機可讀的IP地址,如“173.194.67.102”。
網際網路不僅僅只有一個DNS伺服器,因為那樣效率會非常低。您的Internet服務提供商執行自己的DNS伺服器,該伺服器快取來自其他DNS伺服器的資訊。您的家庭路由器的功能就像一個DNS伺服器,它快取來自ISP的DNS伺服器的資訊。您的計算機具有本地DNS快取,因此它可以快速引用已經執行的DNS查詢,而不是反覆執行DNS查詢。
如果DNS快取包含不正確的條目,它可能會中毒。例如,如果攻擊者控制了DNS伺服器並更改了其中的一些資訊,例如,他們可能會說谷歌網站實際上指向攻擊者擁有的IP地址—DNS伺服器會告訴其使用者要查詢的IP地址谷歌網站在錯誤的地址。攻擊者的地址可能包含某種惡意釣魚網站
像這樣的DNS中毒也會傳播。例如,如果不同的網際網路服務提供商正在從受損的伺服器獲取他們的DNS資訊,中毒的DNS條目將傳播到網際網路服務提供商並被快取在那裡。然後它會傳播到家庭路由器和計算機上的DNS快取,因為他們查詢DNS條目,接收不正確的響應,並存儲它。
這不僅僅是一個理論上的問題-它已經在現實世界中發生了大規模的。中國防火牆的工作方式之一是透過DNS級別的阻止。例如,在中國被遮蔽的網站,如推特網站,可能在中國的DNS伺服器上將其DNS記錄指向不正確的地址。這將導致Twitter無法透過正常方式訪問。可以認為這是中國故意毒害自己的DNS伺服器快取。
2010年,中國境外的一家網際網路服務提供商錯誤地將其DNS伺服器配置為從中國境內的DNS伺服器獲取資訊。它從中國獲取了不正確的DNS記錄,並將其快取在自己的DNS伺服器上。其他Internet服務提供商從該Internet服務提供商獲取DNS資訊,並在其DNS伺服器上使用它。毒DNS條目繼續傳播,直到一些美國人在美國網際網路服務提供商上被禁止訪問Twitter、Facebook和YouTube。中國的防火牆已經“洩露”到了國境之外,阻止了來自世界其他地方的人們訪問這些網站。這實際上是一次大規模的DNS中毒攻擊。(來源)
DNS快取中毒是這樣一個問題的真正原因是因為沒有真正的方法來確定您收到的DNS響應是否真正合法,或者它們是否**縱。
DNS快取中毒的長期解決方案是DNSSEC。DNSSEC將允許組織使用公鑰加密技術對其DNS記錄進行簽名,確保您的計算機知道DNS記錄是否應被信任,或者是否已中毒並重定向到不正確的位置。
圖片來源:安德魯·庫茲涅佐夫在Flickr上,傑米姆斯在Flickr上,美國宇航局
...地域名快取與域名到IP地址的實際對映不同步。這就是為什麼有時即使網站沒有關閉也無法訪問該網站的原因——尤其是如果該網站最近移動了伺服器。 ...
...在我們的計算機上有這麼多的首選項和工具,但有時沒有什麼比一個好的老式命令列工具更好的了。這對於聯網資訊尤其重要,無論您使用的是什麼作業系統。 ...
... 最終,你的瀏覽歷史是幫助大公司賺錢。這就是為什麼你應該總是使用第三方DNS提供商。 ...
... 但是什麼是DNS伺服器,它是如何讓你從a(域名)到B(匹配的web伺服器)的呢?您如何知道您的DNS伺服器是否正確響應?這個系統設計成在你不注意的情況下工作,但它不是萬...