本页使用了标题或全文手工转换

域名服务器缓存污染

维基百科,自由的百科全书
(重定向自域名劫持
跳到导航 跳到搜索

網域伺服器快取污染(DNS cache pollution)或DNS污染,是指由于防火长城自动执行DNS劫持攻击导致DNS服务器缓存了错误记录的现象。而域名服务器缓存投毒(DNS cache poisoning)和DNS缓存投毒指由防火长城执行的DNS劫持攻击。污染一词可能取自域名系统域名解析之特性,若递归DNS解析器查询上游时收到错误回复,所有下游也会受影响。

缓存污染攻擊[编辑]

一般來說,一部連上了互聯網的電腦都會使用互聯網服務供應商提供的递归DNS服务器。這個服务器通常都會將部分客戶曾經請求過的域名暫存起來。快取污染攻擊就是針對這一特性,以影響服务器的使用者或下游服務。

中国防火長城[编辑]

在中國大陆,對所有经过防火長城(英語:Great Firewall,常用簡稱:GFW)的在UDP的53端口上的域名查询进行IDS入侵检测,一經發現與黑名單關鍵詞相匹配的域名查詢請求,會馬上伪装成目标解析服务器注入伪造的查詢结果。攻击仅出现在DNS查询之路由经过防火长城时[注 1]。伪造的查询结果中的IP地址不是一成不变的,在一段时间后会更新。[1]

对于TCP协议下的域名查询,防火长城可使用TCP重置攻击的方法进行干扰。

污染事件[编辑]

  • 2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS域名污染域名劫持已影响国际互联网。[2][3]
  • 2014年1月21日下午三点半,中国互联网顶级域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由门的开发公司)租用于翻墙软件连接节点[4]
  • 2015年1月2日起,污染方式升级,不再是解析到固定的无效IP,而是随机地指向境外的有效IP。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[5]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[6]
  • 2016年3月29日起,防火长城针对Google升级了污染方式。在一开始升级过后,所有包含google, gmail等关键词的域名查询均被污染,导致很多用户一时间完全无法正常使用Gmail服务。之后,防火长城对规则进行了调整。其中,对于*.google.com域名污染主域名(google.com,不包括www)及部分服务域名(drive.google.com, plus.google.com等),而针对地区域名则选择性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地区的域名则不受影响(*.google.us等)。[7]
  • 截至2020年,访问大部分被墙网站时,均会解析到特定的非中国IP地址,如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1数据中心、美国 得克萨斯州达拉斯市SoftLayer科技公司等的IP[8],这些IP地址通常已经被屏蔽,如果没有被屏蔽则使用者可能看到浏览器的无效TLS证书之警告。

互联网服务提供商[编辑]

中國電信在當用戶輸入錯誤或無法解析的網址時就會顯示旗下互聯星空114網站。此乃2007年劫持Bloglines時的畫面。

中国大陆的互联网服务提供商经常劫持部分域名,转到自己指定的网站,以提供自己的广告,方式为劫持域名不存在时返回的NXDOMAIN记录(Non-existent domain)返回自己服务器的IP,从而跳转至自己的服务器上显示广告等内容。

2021年,香港於1月起無法訪問網站「香港編年史」,傳媒消息稱警方要求網絡供應商封鎖網站。[9][10]「香港編年史」於1月6日更改IP位址,但再次被封,共用同一IP的網站都無法訪問,包括麻醉科臨床藥理期刊(Journal of Anaesthesiology Clinical Pharmacology, JOACP)及美國機械人科技公司Apptronik。

注释[编辑]

  1. ^ 中国大陆用户查询当地的DNS服务器收到错误结果是缓存所致,其并没有直接受到防火长城的DNS劫持攻击。

参考文献[编辑]

  1. ^ 深入了解GFW:DNS污染. 2009-11-27 [2011-02-06]. (原始内容存档于2020-12-14). 
  2. ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始内容存档于2020-10-23). 
  3. ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始内容存档于2019-05-20). 
  4. ^ 大陸網路遭駭百度也停擺页面存档备份,存于互联网档案馆),中央社
  5. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2015-03-22]. (原始内容存档于2015-04-03). 
  6. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2015-03-22]. (原始内容存档于2015-04-02). 
  7. ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日]. [永久失效連結]
  8. ^ keckl. “反独清网2021”行动正式打响,一批涉独站点被端. 净协在线. 2021-05-23. (原始内容存档于2021-06-24). 
  9. ^ 載警員個人資料「香港編年史」網站無法連線 消息:警方國安處首引用《港區國安法》封網. [2021-01-12]. (原始内容存档于2021-01-15). 
  10. ^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. (原始内容存档于2021-01-12). 

參見[编辑]

外部連結[编辑]