DNS缓存投毒攻击原理与防御详解 描述 DNS缓存投毒是一种攻击技术，攻击者通过向DNS解析器的缓存中注入伪造的DNS记录，将域名指向恶意IP地址。当用户访问被投毒的域名时，会被重定向到攻击者控制的服务器，导致钓鱼攻击、恶意软件分发等风险。本知识点将深入解析攻击原理、技术细节及防御措施。 知识点详解 DNS基础回顾 DNS系统负责将域名（如 example.com ）解析为IP地址（如 93.184.216.34 ）。 递归解析器（如运营商DNS）会缓存查询结果以减少重复查询，缓存存活时间由DNS记录的TTL（Time to Live）字段控制。 DNS协议使用UDP传输，缺乏内置身份验证机制，依赖随机生成的16位事务ID（Transaction ID）和源端口号匹配响应。 攻击原理核心 攻击者伪装成权威DNS服务器，向目标递归解析器发送伪造的DNS响应包。 关键挑战：伪造的响应需匹配以下字段才能被解析器接受： 事务ID ：16位随机数（取值范围0~65535）。 源端口号 ：解析器发送请求时使用的随机UDP端口。 查询域名与类型 ：需与原始请求完全一致。 若攻击者提前预测或暴力猜解这些字段，并抢先于合法响应到达，解析器便会缓存伪造记录。 攻击步骤分解 步骤1：诱导目标解析器发送查询 攻击者通过钓鱼邮件或恶意链接，诱使用户访问 evil.example.com ，触发目标解析器向权威DNS查询该域名。 步骤2：伪造响应并抢先发送 攻击者监听到查询请求后，立即向解析器发送大量伪造响应，每个响应尝试不同的事务ID和端口号组合。 伪造响应中除了应答 evil.example.com ，还会附加恶意域（如 bank.com ）的伪造记录（称为“额外字段投毒”）。 步骤3：利用缓存机制扩大影响 若解析器接受伪造响应，不仅 evil.example.com 被投毒，关联的 bank.com 记录也会被缓存。 此后所有使用该解析器的用户访问 bank.com 时，均被重定向到攻击者IP。 技术难点与演进 传统攻击 ：依赖事务ID与端口号猜解。早期解析器端口随机化不充分，事务ID熵值低，易被暴力破解。 Kaminsky攻击（2008） ： 攻击者先查询一个不存在的子域（如 a1b2c3.example.com ）。 伪造响应时，在额外字段中注入 example.com 的NS记录，将权威DNS指向恶意服务器。 通过多次快速尝试，最终控制整个域名的解析权。 现代攻击增强 ：利用网络延迟、DNS协议扩展（如EDNS0）或中间人位置提升猜解成功率。 防御措施 源端口随机化 ：扩大端口号随机范围（如从0~1024扩展到1024~65535），增加猜解难度。 DNSSEC（DNS安全扩展） ： 通过数字签名验证DNS响应真实性，从根本上杜绝投毒。 部署难点：需要域所有者配置密钥，递归解析器支持验证。 事务ID强化 ：使用密码学安全的随机数生成器，避免伪随机模式。 0x20编码 ：在查询中使用随机大小写域名（如 ExAmPlE.cOm ），响应需保持相同大小写，增加伪造难度。 减少缓存依赖 ：缩短TTL或对关键域名禁用缓存。 总结 DNS缓存投毒利用协议设计缺陷和实现弱点，通过伪造响应污染缓存。防御需结合随机化增强、协议升级（DNSSEC）和部署策略，形成多层次保护体系。