域名服务器缓存污染
 | 此條目需要补充更多来源。 (2013年1月8日) |
 | 此条目論述以中国大陆為主,未必具有普世通用的觀點。 (2016年6月22日) |
 | 此條目需要編修,以確保文法、用詞、语气、格式、標點等使用恰当。 |
網域伺服器快取污染(DNS cache pollution),又称域名服务器缓存投毒(DNS cache poisoning)、DNS缓存投毒,是指一些刻意製造或無意中製造出來的域名伺服器封包,把域名指往不正確的IP位址。一般來說,在互聯網上都有可信賴的網域伺服器,但為減低網絡上的流量壓力,一般的域名服务器都會把从上游的域名服务器获得的解析记录暫存起來,待下次有其他機器要求解析域名時,可以立即提供服務。一旦有關網域的局域域名服务器的缓存受到污染,就會把網域內的電腦導引往錯誤的服务器或伺服器的網址。
域名服务器快取污染可能是因为域名伺服器軟件的設計錯誤而產生,但亦可能由別有用心者透過研究開放架構的域名伺服器系統來利用當中的漏洞。
為防止局域的域名伺服器缓存污染除了要定時更新伺服器的軟件以外,可能還需要人手變更某些設定,以控制伺服器對可疑的域名封包作出篩選。[1]
缓存污染攻擊[编辑]
一般來說,一部連上了互聯網的電腦都會使用互聯網服務供應商提供的域名伺服器。這個服务器一般只會服務供應商的客戶,通常都會將部分客戶曾經請求過的域名暫存起來,這種伺服器被稱為非權威伺服器,其應答稱非權威應答。快取污染攻擊就是針對這一種伺服器,以影響服务器的使用者或下游服務。
中国防火長城[编辑]
在中國大陆,對所有经过防火長城(英語:Great Firewall,常用簡稱:GFW)的在UDP的53端口上的域名查询进行IDS入侵检测,一經發現與黑名單關鍵詞相匹配的域名查詢請求,會馬上伪装成目标域名的解析服务器返回虚假的查詢结果。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于无连接不可靠的UDP協議,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。[2]
- 对于不了解相关知识的网民来说,由于系统默认從使用的ISP所提供的域名查詢服务器去查询国外的权威服务器时,即被防火長城污染,進而使其缓存受到污染,因此默认情况下查询ISP的服务器就会获得虚假IP地址;而用户直接查询境外域名查詢伺服器(比如 Google Public DNS)時有可能會直接被防火長城污染,从而在没有任何防范机制的情况下仍然不能获得目標網站正确的IP地址。[2]
- 因為TCP连接的機制可靠,防火长城理论上未对TCP协议下的域名查询进行污染,故现在能透過强制使用TCP协议查询真实的IP地址。而现实的情况是,防火长城对於真实的IP地址也可能会采取其它的手段进行封锁,或者对查询行为使用连接重置的方法进行拦截,故能否真正访问可能还需要其它翻墙的手段。
- 通常情况下无论使用设置在中国大陆的DNS服务还是使用设置在海外的DNS服务,因为解析结果都需要穿过GFW,所以都会被GFW污染。但是仍有一些设置在中国大陆的小型DNS使用技术手段回避GFW的污染并提供不受污染的结果,通常使用这些小型DNS也能够访问其他被封锁的网站。
- 另外,DNS污染的污染IP不是一成不变的,污染的无效IP在一段时间后会更新。
污染攻击大事记[编辑]
- 2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS域名污染域名劫持已影响国际互联网。[3][4]
- 2014年1月21日下午三点半,中国互联网顶级域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由门的开发公司)租用于翻墙软件连接节点[5]。
- 2015年1月2日起,污染方式升级,不再是解析到固定的无效IP,而是随机地指向境外的有效IP。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[6]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[7]
- 2016年3月29日起,防火长城针对Google升级了污染方式。在一开始升级过后,所有包含google, gmail等关键词的域名查询均被污染,导致很多用户一时间完全无法正常使用Gmail服务。之后,防火长城对规则进行了调整。其中,对于*.google.com域名污染主域名(google.com,不包括www)及部分服务域名(drive.google.com, plus.google.com等),而针对地区域名则选择性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地区的域名则不受影响(*.google.us等)。[8]
- 目前大部分网站污染方式已恢复为解析到固定的无效IP,但小部分网站和新疆地区访问Google时仍会污染至有效IP(Google中国大陆境内的服务器IP)
- 截至2020年,访问大部分被墙网站时,均会解析到随机的境外有效地址,如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1数据中心、美国 得克萨斯州达拉斯市SoftLayer科技公司等的IP。
ISP域名劫持[编辑]
中国大陆的互联网服务提供商经常劫持部分域名,转到自己指定的网站,以提供自己的广告,污染方式为劫持域名不存在时返回的NXDOMAIN记录(Non-existent domain)返回自己服务器的IP,从而跳转至自己的服务器上显示广告等内容。
參見[编辑]
参考文献[编辑]
- ^ 1.0 1.1 如何防止 DNS 快取侵害. Microsoft 技術支援服務. 2007-02-28 [2008-08-21].
- ^ 2.0 2.1 深入了解GFW:DNS污染. 2009-11-27 [2011-02-06].
- ^ Chile NIC explains Great Firewall incident.
- ^ Comportamiento anómalo DNS del 24/03/2010.
- ^ 大陸網路遭駭百度也停擺 页面存档备份,存于互联网档案馆,中央社
- ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2015-03-22]. (原始内容存档于2015-04-03).
- ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2015-03-22]. (原始内容存档于2015-04-02).
- ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日].[永久失效連結]
外部連結[编辑]
- BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
- Predictable transaction IDs in Microsoft DNS server allow cache poisoning
- SANS DNS cache poisoning update
- DNS Threats & Weaknesses: research and presentations
- Blocking Unwanted Domain Names 页面存档备份,存于互联网档案馆 Creative Usage of the Hosts File
- Dnsstuff.com's DNS Vulnerability Check[永久失效連結] Test to see if you are Vulnerable
- Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
- Movie explaining DNS Cache Poisioning
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||