域名服务器缓存污染

網域伺服器快取污染（DNS cache pollution），又称域名服务器缓存投毒（DNS cache poisoning），是指一些刻意製造或無意中製造出來的域名伺服器封包，把域名指往不正確的IP位址。一般來說，在互聯網上都有可信賴的網域伺服器，但為減低網絡上的流量壓力，一般的域名服务器都會把从上游的域名服务器获得的解析记录暫存起來，待下次有其他機器要求解析域名時，可以立即提供服務。一旦有關網域的局域域名服务器的缓存受到污染，就會把網域內的電腦導引往錯誤的服务器或伺服器的網址。

域名服务器快取污染可能是因为域名伺服器軟件的設計錯誤而產生，但亦可能由別有用心者透過研究開放架構的域名伺服器系統來利用當中的漏洞。

透過變更Windows 2003的某些域名封包設定，可以摒除有可疑的封包。^[1]

為防止局域的域名伺服器缓存污染除了要定時更新伺服器的軟件以外，可能還需要人手變更某些設定，以控制伺服器對可疑的域名封包作出篩選。^[1]

缓存污染攻擊[编辑]

一般來說，一部連上了互聯網的電腦都會使用互聯網服務供應商提供的域名伺服器。這個服务器一般只會服務供應商的客戶，通常都會將部分客戶曾經請求過的域名暫存起來，這種伺服器被稱為非權威伺服器，其應答稱非權威應答。快取污染攻擊就是針對這一種伺服器，以影響服务器的使用者或下游服務。

中国防火長城[编辑]

在中國大陆，對所有经过防火長城的在UDP的53端口上的域名查询进行IDS入侵检测，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上伪装成目标域名的解析服务器返回虚假的查詢结果。由于通常的域名查询没有任何认证机制，而且域名查詢通常基于无连接不可靠的UDP協議，查询者只能接受最先到达的格式正确结果，并丢弃之后的结果。^[2]

对于不了解相关知识的网民来说，由于系统默认使用的ISP提供的域名查詢服务器查询国外的权威服务器时即被防火長城污染，進而使其缓存受到污染，因此默认情况下查询ISP的服务器就会获得虚假IP地址；而用户直接查询境外域名查詢伺服器（比如 Google Public DNS）時有可能會直接被防火長城污染，从而在没有任何防范机制的情况下仍然不能获得目標網站正确的IP地址。^[2]

因為TCP连接的機制可靠，防火长城理论上未对TCP协议下的域名查询进行污染，故现在能透過强制使用TCP协议查询真实的IP地址。而现实的情况是，防火长城对於真实的IP地址也可能会采取其它的手段进行封锁，或者对查询行为使用连接重置的方法进行拦截，故能否真正访问可能还需要其它翻墙的手段。

通常情况下无论使用设置在中国大陆的DNS服务还是使用设置在外国的DNS服务，因为解析结果都需要穿过GFW，所以都会被GFW污染。但是仍有一些设置在中国大陆的小型DNS使用技术手段回避GFW的污染并提供不受污染的结果，通常使用这些小型DNS也能够访问其他被封锁的网站。

根据互联网上长期收集到的污染目标的虚假IP地址列表，防火长城会将黑名单内的域名重新導向至不限于以下列表的IP地址：^[3]

IPv4环境[编辑]

4.36.66.178
8.7.198.45
23.89.5.60
37.61.54.158
46.82.174.68
49.2.123.56
54.76.135.1
59.24.3.173
64.33.88.161
64.33.99.47
64.66.163.251
65.104.202.252
65.160.219.113
66.45.252.237
72.14.205.99
72.14.205.104
77.4.7.92
78.16.49.15
93.46.8.89
118.5.49.6
128.121.126.139
159.106.121.75
169.132.13.103
185.85.13.155
188.5.4.96
189.163.17.5
192.67.198.6
197.4.4.12
202.106.1.2
202.181.7.85
203.98.7.65
203.161.230.171
207.12.88.98
208.56.31.43
209.36.73.33
209.145.54.50
209.220.30.174
211.94.66.147
213.169.251.35
216.221.188.182
216.234.179.13
243.185.187.39
249.129.46.48
253.157.14.165

一个比较特别的例子是 Google+ 的域名 plus.google.com 被重新導向至Google自己的服务器以封锁IP地址的形式进行封锁：

74.125.31.113
74.125.39.102
74.125.39.113
74.125.127.102
74.125.130.47
74.125.155.102
209.85.229.138
210.242.125.20

一个比较特别的例子是 YouTube 影片服务器的域名 r*.googlevideo.com 还拥有一份特别的投毒污染地址列表：

0.0.0.0
2.1.1.2
4.193.80.0
8.105.84.0
12.87.133.0
16.63.155.0
20.139.56.0
24.51.184.0
28.121.126.139
28.13.216.0
46.20.126.252
46.38.24.209
61.54.28.6
66.206.11.194
74.117.57.138
89.31.55.106
113.11.194.190
118.5.49.6
122.218.101.190
123.50.49.171
123.126.249.238
125.230.148.48
127.0.0.2
173.201.216.6
203.199.57.81
208.109.138.55
211.5.133.18
211.8.69.27
213.186.33.5
216.139.213.144
221.8.69.27
243.185.187.3
243.185.187.30

IPv6环境[编辑]

1.1.1.1
1.2.3.4
10.10.10.10
20.20.20.20
255.255.255.255
::90xx:xxxx:0:0
10::2222
21:2::2
101::1234
2001::212
2001:DA8:112::21AE
2003:FF:1:2:3:4:5FFF:xxxx
2123::3E12
200:2:253d:369e::
200:2:4e10:310f::
200:2:2e52:ae44::
200:2:807:c62d::
200:2:cb62:741::
200:2:f3b9:bb27::
200:2:5d2e:859::
200:2:9f6a:794b::
200:2:3b18:3ad::

污染攻击大事记[编辑]

2010年3月，当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名，他们的域名查询请求转交给中国控制的DNS根镜像服务器处理，由于这些网站在中国被封锁，结果用户收到了错误的DNS解析信息，这意味着防火长城的DNS域名污染域名劫持已影响国际互联网。

2010年4月8日，中国大陆一个小型ISP的错误路由数据，经过中国电信的二次传播，扩散到了整个国际互联网，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefónica等多个国家的大型ISP。

2012年11月9日下午3点半开始，防火长城对Google的泛域名 .google.com 进行了大面积的污染，所有以 .google.com 结尾的域名均遭到污染而解析错误不能正常访问，其中甚至包括不存在的域名，而Google为各国定制的域名也遭到不同程度的污染（因为Google通过使用CNAME记录来平衡访问的流量，CNAME记录大多亦为 .google.com 结尾），但Google拥有的其它域名如 .googleusercontent.com 等则不受影响。有网友推测这也许是自防火长城创建以来最大规模的污染事件，而Google被大面积阻碍连接则是因为中共正在召开的十八大。

2014年1月21日下午三点半，中国互联网顶级域名解析不正常，出錯網站解析到的網址是65.49.2.178，這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司，被Dynamic Internet Technology（即自由门的开发公司）租用于翻墙软件连接节点^[4]。
2015年1月2日起，污染方式升级，不再是解析到固定的无效IP，而是随机地指向境外的有效IP。刚开始只是对YouTube影片域名（*.googlevideo.com）进行处理，之后逐渐扩大到大多数被污染的域名。^[5]这导致了境外服务器遭受来自中国的DDoS攻击，部分网站因此屏蔽中国IP。^[6]
2016年3月29日起，防火长城针对Google升级了污染方式。在一开始升级过后，所有包含google, gmail等关键词的域名查询均被污染，导致很多用户一时间完全无法正常使用Gmail服务。之后，防火长城对规则进行了调整。其中，对于*.google.com域名污染主域名（google.com，不包括www）及部分服务域名（drive.google.com, plus.google.com等），而针对地区域名则选择性地污染泛域名（*.google.com.hk, *.google.co.kr, *.google.ru等），其他地区的域名则不受影响（*.google.us等）。^[7]
目前污染方式已恢复为解析到固定的无效IP，并且 twitter youtube google 等网站均使用泛解析方式域名污染。

ISP域名劫持[编辑]

中國電信在當用戶輸入錯誤或無法解釋的網址時就會顯示旗下互聯星空114網站。此乃2007年劫持Bloglines時的畫面。

中国大陆的互联网服务提供商经常劫持部分域名，转到自己指定的网站，以提供自己的广告，污染方式为劫持域名不存在时返回的NXDOMAIN记录（Non-existent domain）返回自己服务器的ip，从而跳转至自己的服务器上显示广告等内容。

參見[编辑]

參考資料[编辑]

^ ^1.0 ^1.1 如何防止 DNS 快取侵害. Microsoft 技術支援服務. 2007-02-28 [2008-08-21].
^ ^2.0 ^2.1 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06].
^ GFW DNS 污染 IP 列表. 2010-01-06.
^ 大陸網路遭駭百度也停擺，中央社
^ 防火长城使用有效IP投毒DNS，其中包括色情网站IP. 2015-01-09.
^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23.
^ 针对 Google 的 dns 污染又开始了. [2016年3月30日].

外部連結[编辑]

BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
Predictable transaction IDs in Microsoft DNS server allow cache poisoning
SANS DNS cache poisoning update
DNS Threats & Weaknesses: research and presentations
Blocking Unwanted Domain Names Creative Usage of the Hosts File
Dnsstuff.com's DNS Vulnerability Check Test to see if you are Vulnerable
Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
Movie explaining DNS Cache Poisioning

[mskb-1] 1.0 ^1.1 如何防止 DNS 快取侵害. Microsoft 技術支援服務. 2007-02-28 [2008-08-21].

[gfw-2] 2.0 ^2.1 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06].

[3] GFW DNS 污染 IP 列表. 2010-01-06.

[4] 大陸網路遭駭百度也停擺，中央社

[5] 防火长城使用有效IP投毒DNS，其中包括色情网站IP. 2015-01-09.

[6] 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23.

[7] 针对 Google 的 dns 污染又开始了. [2016年3月30日].

[1]

[2]

[3]

[4]

[5]

[6]

[7]