什么是DNS缓存中毒?
DNS缓存中毒,也称为DNS欺骗,是一种利用域名系统(DNS)中的漏洞将Internet流量从合法服务器转移到伪造服务器的攻击。
DNS中毒如此危险的原因之一是,它可以从DNS服务器传播到DNS服务器。 2010年,一次DNS中毒事件导致中国长城防火墙暂时逃脱了中国的国界,并对美国的互联网进行了审查,直到问题解决。
DNS如何运作
每当您的计算机联系到诸如“ google.com”之类的域名时,它都必须首先联系其DNS服务器。 DNS服务器使用一个或多个IP地址进行响应,您的计算机可以在其中访问google.com。然后,您的计算机将直接连接到该数字IP地址。 DNS将人类可读的地址(例如“ google.com”)转换为计算机可读的IP地址(例如“ 173.194.67.102”)。
- 阅读更多:HTG解释:什么是DNS?
DNS缓存
互联网不只是一台DNS服务器,因为这样做效率极低。您的Internet服务提供商运行自己的DNS服务器,该服务器缓存来自其他DNS服务器的信息。您的家用路由器用作DNS服务器,该服务器缓存ISP的DNS服务器中的信息。您的计算机具有本地DNS缓存,因此它可以快速引用已经执行的DNS查找,而不必一遍又一遍地执行DNS查找。
DNS缓存中毒
如果DNS缓存包含不正确的条目,则可能会中毒。例如,如果攻击者控制了DNS服务器并更改了其中的某些信息(例如,他们可能会说google.com实际上指向攻击者拥有的IP地址),则DNS服务器会告诉其用户查找Google.com的地址错误。攻击者的地址可能包含某种恶意网络钓鱼网站
这样的DNS中毒也可能扩散。例如,如果各种Internet服务提供商正在从受感染的服务器获取其DNS信息,则中毒的DNS条目将传播到Internet服务提供商并缓存在此处。然后,当计算机查找DNS条目,接收到不正确的响应并将其存储时,它将传播到家用路由器和计算机上的DNS缓存。
中国的长城蔓延到美国
这不仅仅是一个理论问题,它已经在现实世界中大规模发生。中国长城防火墙的工作方式之一是通过在DNS级别进行阻止。例如,在中国被阻止的网站(例如twitter.com)可能会将其DNS记录指向在中国DNS服务器上的错误地址。这将导致无法通过常规方式访问Twitter。可以将其视为中国有意破坏其自己的DNS服务器缓存的情况。
2010年,中国境外的一家互联网服务提供商错误地将其DNS服务器配置为从中国DNS服务器获取信息。它从中国获取了不正确的DNS记录,并将其缓存在自己的DNS服务器上。其他Internet服务提供商从该Internet服务提供商获取DNS信息,并在其DNS服务器上使用了该信息。中毒的DNS条目继续蔓延,直到美国一些人被阻止访问其美国互联网服务提供商的Twitter,Facebook和YouTube。中国的长城防火墙已经“泄漏”了其国界,从而阻止了世界其他地方的人们访问这些网站。这实际上起大规模DNS中毒攻击的作用。 (来源。)
解决方案
DNS缓存中毒之所以是这样的问题,其真正原因是因为没有真正的方法来确定您收到的DNS响应是否真正合法或是否已被操纵。
DNS缓存中毒的长期解决方案是DNSSEC。 DNSSEC将允许组织使用公钥密码术对其DNS记录进行签名,以确保您的计算机将知道DNS记录是否值得信任或是否被中毒并重定向到错误的位置。
- 阅读更多:DNSSEC将如何帮助保护互联网安全以及SOPA几乎使它非法
图片来源:Flickr上的Andrew Kuznetsov,Flickr上的Jemimus,美国国家航空航天局
