DNS缓存中毒,也称为DNS欺骗,是一种利用域名系统(DNS)中的漏洞将Internet流量从合法服务器转移到假冒服务器的攻击。
DNS中毒如此危险的原因之一是它可以从一个DNS服务器传播到另一个DNS服务器。2010年,一次DNS中毒事件导致中国的防火墙暂时逃离了中国的国界,对美国的互联网进行审查,直到问题得到解决。
当您的计算机与域名联系时,如“谷歌网站,“它必须首先联系它的DNS服务器。DNS服务器用计算机可以访问的一个或多个IP地址进行响应谷歌网站. 然后,您的计算机直接连接到该数字IP地址。DNS转换人类可读的地址,如“谷歌网站到计算机可读的IP地址,如“173.194.67.102”。
互联网不仅仅只有一个DNS服务器,因为那样效率会非常低。您的Internet服务提供商运行自己的DNS服务器,该服务器缓存来自其他DNS服务器的信息。您的家庭路由器的功能就像一个DNS服务器,它缓存来自ISP的DNS服务器的信息。您的计算机具有本地DNS缓存,因此它可以快速引用已经执行的DNS查找,而不是反复执行DNS查找。
如果DNS缓存包含不正确的条目,它可能会中毒。例如,如果攻击者控制了DNS服务器并更改了其中的一些信息,例如,他们可能会说谷歌网站实际上指向攻击者拥有的IP地址—DNS服务器会告诉其用户要查找的IP地址谷歌网站在错误的地址。攻击者的地址可能包含某种恶意钓鱼网站
像这样的DNS中毒也会传播。例如,如果不同的互联网服务提供商正在从受损的服务器获取他们的DNS信息,中毒的DNS条目将传播到互联网服务提供商并被缓存在那里。然后它会传播到家庭路由器和计算机上的DNS缓存,因为他们查找DNS条目,接收不正确的响应,并存储它。
这不仅仅是一个理论上的问题-它已经在现实世界中发生了大规模的。中国防火墙的工作方式之一是通过DNS级别的阻止。例如,在中国被屏蔽的网站,如推特网站,可能在中国的DNS服务器上将其DNS记录指向不正确的地址。这将导致Twitter无法通过正常方式访问。可以认为这是中国故意毒害自己的DNS服务器缓存。
2010年,中国境外的一家互联网服务提供商错误地将其DNS服务器配置为从中国境内的DNS服务器获取信息。它从中国获取了不正确的DNS记录,并将其缓存在自己的DNS服务器上。其他Internet服务提供商从该Internet服务提供商获取DNS信息,并在其DNS服务器上使用它。毒DNS条目继续传播,直到一些美国人在美国互联网服务提供商上被禁止访问Twitter、Facebook和YouTube。中国的防火墙已经“泄露”到了国境之外,阻止了来自世界其他地方的人们访问这些网站。这实际上是一次大规模的DNS中毒攻击。(来源)
DNS缓存中毒是这样一个问题的真正原因是因为没有真正的方法来确定您收到的DNS响应是否真正合法,或者它们是否**纵。
DNS缓存中毒的长期解决方案是DNSSEC。DNSSEC将允许组织使用公钥加密技术对其DNS记录进行签名,确保您的计算机知道DNS记录是否应被信任,或者是否已中毒并重定向到不正确的位置。
图片来源:安德鲁·库兹涅佐夫在Flickr上,杰米姆斯在Flickr上,美国宇航局
...地域名缓存与域名到IP地址的实际映射不同步。这就是为什么有时即使网站没有关闭也无法访问该网站的原因——尤其是如果该网站最近移动了服务器。 ...
...在我们的计算机上有这么多的首选项和工具,但有时没有什么比一个好的老式命令行工具更好的了。这对于联网信息尤其重要,无论您使用的是什么操作系统。 ...
... 最终,你的浏览历史是帮助大公司赚钱。这就是为什么你应该总是使用第三方DNS提供商。 ...
... 但是什么是DNS服务器,它是如何让你从a(域名)到B(匹配的web服务器)的呢?您如何知道您的DNS服务器是否正确响应?这个系统设计成在你不注意的情况下工作,但它不是万...
... 相关:什么是DNS服务器?为什么它不可用? ...
...从这个模糊的错误消息中,我们无法立即看出DNS服务器是什么,更不用说它为什么不与您合作了。 ...