什麼是 DNS 快取中毒，又稱 DNS 欺騙？

什麼是 DNS 快取中毒？

DNS 快取中毒是指將誤導性資訊輸入 DNS 快取，導致 DNS 查詢返回不準確的答案，並導致使用者被引導到錯誤的域名。DNS 欺騙是 DNS 快取中毒的另一個術語。

• IP 地址是網際網路的“房間號”，允許網路流量到達正確的目的地。DNS 解析器快取充當“校園目錄”，當它們儲存不正確的資訊時，流量會被路由到錯誤的位置，直到快取資訊更新。

• DNS 欺騙是一種威脅，它模模擬實的伺服器目的地，以便將流量重定向到某個域名。許多 DNS 欺騙攻擊技術的目的是將毫無戒心的使用者引導到惡意網站。

• DNS 快取中毒是一種 DNS 欺騙，它涉及您的系統在本地記憶體快取中儲存偽造的 IP 地址。這會導致 DNS 記住您訪問的錯誤站點，即使問題已得到解決或伺服器端從未發生過問題。

針對 DNS 欺騙的攻擊可以透過多種方式進行，包括：

• 中間人攻擊 - 中間人攻擊包括攔截使用者和 DNS 伺服器之間的通訊，以便將使用者重定向到不同的/惡意的 IP 地址。

• DNS 伺服器入侵 - DNS 伺服器被直接劫持，當它被配置為返回惡意的 IP 地址時。

DNS 快取中毒是如何工作的？

DNS 解析器會將對 IP 地址查詢的結果記錄一段時間。因此，解析器可以更快地回答後續查詢，而無需與傳統 DNS 解析中所需的多個伺服器協商。DNS 解析器在其快取中保留響應的時間，只要 IP 地址設定的生存時間 (TTL) 允許它們保留。

攻擊者可以透過偽裝成 DNS 命名伺服器，向 DNS 解析器傳送請求，然後在 DNS 解析器詢問命名伺服器時偽造響應來中毒 DNS 快取。

DNS 查詢和答覆使用使用者資料報協議 (UDP)，而不是 TCP，TCP 需要雙方執行“握手”以開始通訊並驗證裝置的身份。在 UDP 中，無法知道連線是否開啟，接收者是否準備好接收，或者傳送者是否是他們聲稱的那個人。因此，UDP 容易受到偽造；攻擊者可以透過 UDP 傳送訊息並偽造報頭資料，使其看起來像是來自有效伺服器的響應。

為了執行 DNS 欺騙攻擊，攻擊者還必須知道或預測一些因素：

• 目標 DNS 解析器未快取哪些 DNS 請求，迫使其詢問權威命名伺服器？

• DNS 解析器使用哪個埠？以前，它們對每個查詢都使用相同的埠，但現在它們每次都使用不同的隨機埠。

• 分配給請求的編號。

• 查詢將被定向到哪個權威命名伺服器？

由於無法檢查資訊是否真實且來自有效來源，因此 DNS 解析器會毫無疑問地接受和快取欺詐性響應。

如何保護您的 DNS 伺服器免受中毒？

除了監控和分析之外，您還可以調整 DNS 伺服器的設定。

• 為了避免重複搜尋導致中毒，請將其保持在最低限度。

• 僅儲存有關請求域的資訊。

• 將答案限制在與指定域相關的答案。

• 必須強制客戶端使用 HTTPS。

此外，您可以使用以下工具和方法來保護 DNS 伺服器：

• DNS 欺騙檢測工具 - 這些工具類似於端點使用者安全解決方案，在傳送資料之前會掃描接收到的所有資料。

• DNSSEC（域名系統安全擴充套件） - DNSSEC 系統本質上是 DNS 的“已確認真實”標記，有助於使 DNS 查詢有效且免受欺騙。

• 端到端加密 - 用於 DNS 查詢和響應的加密資料可以防止竊取者竊取資料，因為他們無法複製合法網站的唯一安全證書。

Pranav Bhardwaj

更新於： 2022年6月14日

434 次檢視

開啟您的 職業生涯

透過完成課程獲得認證

開始學習