域名服务器缓存污染
网域服务器缓存污染(英语:DNS cache pollution)、DNS污染或DNS劫持,是一种破坏域名系统查询解析的行为。[1]通常有计算机程序自动执行DNS劫持攻击导致DNS服务器缓存了错误记录的现象。而域名服务器缓存投毒(DNS cache poisoning)和DNS缓存投毒指由计算机程序执行的DNS劫持攻击。污染一词可能取自域名系统域名解析之特性,若递归DNS解析器查询上游时收到错误回复,所有下游也会受影响。
这些篡改可能是出于恶意目的,例如网络钓鱼;也可能是出于互联网服务提供商(ISP)的自身目的,例如防火长城以及公共或路由器提供的DNS服务提供商将用户的网络流量引导至ISP自己的web服务器,以便投放广告、收集统计数据或实现ISP的其他目的;还可能是DNS服务提供商为了阻止对特定域名的访问而采取的一种审查形式。
缓存污染攻击
DNS劫持是一类旁观者攻击,攻击者借由其在网络拓扑中的特殊位置,发送比真实的DNS回应更早到达攻击目标的伪造DNS回应。 一部连上了互联网的电脑一般都会使用互联网服务提供商提供的递归DNS服务器,这个服务器通常都会将部分客户曾经请求过的域名暂存起来。缓存污染攻击就是针对这一特性,影响服务器的用户或下游服务。
中国防火长城
在中国大陆,对所有经过防火长城(英语:Great Firewall,常用简称:GFW)的在UDP的53端口上的域名查询进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,会马上伪装成目标解析服务器注入伪造的查询结果。攻击仅出现在DNS查询之路由经过防火长城时[注 1]。伪造的查询结果中的IP地址不是一成不变的,在一段时间后会更新。[2][3]
对于TCP协议下的域名查询,防火长城可使用TCP重置攻击的方法进行干扰。
流氓DNS服务器
流氓DNS服务器将用户期望访问的网站域名(例如搜索引擎、银行、经纪公司等)解析为包含非预期内容,甚至是恶意网站的IP地址。大多数用户依赖于由其互联网服务提供商自动分配的 DNS 服务器。路由器分配的DNS服务器也可以通过远程利用路由器固件中的漏洞来更改。[4]当用户尝试访问网站时,他们会被重定向到一个虚假网站。这种攻击被称为域名劫持。如果他们被重定向到的网站是一个恶意网站,伪装成合法网站,目的是欺诈性地获取敏感信息,则称为网络钓鱼。[5]
互联网服务提供商
中国大陆的互联网服务提供商经常劫持部分域名,转到自己指定的网站,以提供自己的广告,方式为劫持域名不存在时返回的NXDOMAIN记录(Non-existent domain)返回自己服务器的IP,从而跳转至自己的服务器上显示广告等内容。
2021年,香港于1月起无法访问网站“香港编年史”,传媒消息称警方要求网络供应商屏蔽网站。[6][7]“香港编年史”于1月6日更改IP地址,但再次被封,共享同一IP的网站都无法访问,包括麻醉科临床药理期刊(Journal of Anaesthesiology Clinical Pharmacology, JOACP)及美国机器人科技公司Apptronik。
应对
DNSSEC技术为DNS解析服务提供了解析数据验证机制,理论上可以有效抵御劫持。此外,DNSCrypt、DoT、DoH等方法通过将DNS请求封装于安全连接内,以保护DNS请求中的数据不被中间传输设备篡改。
注释
参考文献
- ^ What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] (美国英语).
- ^ Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11.
While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.
- ^ 深入了解GFW:DNS污染. 2009-11-27 [2011-02-06]. (原始内容存档于2020-12-14).
- ^ Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] (美国英语).
- ^ Rogue Domain Name System Servers. Trend Micro. [2007-12-15].
- ^ 載警員個人資料「香港編年史」網站無法連線 消息:警方國安處首引用《港區國安法》封網. [2021-01-12]. (原始内容存档于2021-01-15).
- ^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. (原始内容存档于2021-01-12).
参见
外部链接
- BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
- Predictable transaction IDs in Microsoft DNS server allow cache poisoning
- SANS DNS cache poisoning update
- DNS Threats & Weaknesses: research and presentations
- Blocking Unwanted Domain Names(页面存档备份,存于互联网档案馆) Creative Usage of the Hosts File
- Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
- Movie explaining DNS Cache Poisioning