DNS缓存投毒攻击原理与防御 1. 攻击描述 DNS缓存投毒（DNS Cache Poisoning）是一种攻击手段，攻击者通过向DNS解析器注入伪造的DNS记录，使其缓存错误的域名与IP地址映射。当用户访问被污染的域名时，会被导向恶意服务器，可能导致钓鱼攻击、恶意软件分发等风险。 2. DNS基础回顾 DNS作用 ：将域名（如 www.example.com ）解析为IP地址（如 93.184.216.34 ）。 递归解析器 ：用户设备通常向递归解析器（如运营商DNS）发起查询，若解析器缓存中无记录，会逐级向根域名服务器、顶级域（TLD）服务器等权威服务器查询。 关键字段 ： Query ID（16位） ：匹配请求与响应的标识符。 源端口 ：解析器发送查询时使用的随机端口。 3. 攻击原理详解 步骤1：攻击者触发递归解析器查询 攻击者向目标递归解析器发送针对恶意域（如 evil.com ）的查询，迫使解析器向权威服务器发起请求。 步骤2：伪造DNS响应 在解析器等待权威服务器响应的过程中，攻击者伪造大量虚假响应，试图满足以下条件： 匹配Query ID ：伪造响应中的Query ID需与解析器生成的随机ID一致。 匹配源端口 ：伪造响应中的UDP源端口需与解析器发送查询时使用的端口一致。 匹配查询域名 ：伪造响应中的域名必须与解析器查询的域名完全相同。 步骤3：竞争权威服务器的响应 伪造响应需在权威服务器的真实响应到达前被解析器接受。由于UDP协议无握手过程，解析器会接受最先到达的合法格式响应。 步骤4：污染缓存 若伪造响应获胜，解析器会缓存错误的IP记录（如将 www.example.com 指向攻击者控制的IP），后续所有用户查询该域名均被导向恶意IP。 4. 攻击难点与增强手段 传统攻击难点 ： Query ID仅16位，最多65536种可能，但攻击者可批量发送伪造响应覆盖所有可能ID。 源端口随机化可增加破解难度（端口号范围0~65535）。 Kaminsky攻击（2008） ： 攻击者先查询一个不存在的子域（如 a1b2c3.example.com ），同时伪造该子域的权威响应，并附加 example.com 的伪造NS记录。 若成功，解析器会缓存错误的 example.com 权威服务器地址，导致所有子域解析被劫持。 5. 防御措施 DNSSEC（DNS安全扩展） 通过数字签名验证DNS响应的真实性，防止伪造。 缺点：部署复杂，需权威服务器和递归解析器共同支持。 随机化增强 使用更大范围的随机源端口（如0~65535），增加攻击者猜测难度。 降低缓存敏感性 对不存在的域名响应谨慎缓存，避免接受附加记录（如限制NS记录缓存）。 运营策略 递归解析器配置为仅信任特定权威服务器。 禁用递归查询对外部开放，减少攻击面。 6. 实际影响 成功投毒可导致大规模用户被重定向到恶意网站，结合SSL剥离攻击可绕过HTTPS保护。因此，DNSSEC和严格随机化策略是核心防御手段。