本页使用了标题或全文手工转换

域名服务器缓存污染

维基百科,自由的百科全书
跳到导航 跳到搜索

网域服务器缓存污染(DNS cache pollution),又称域名服务器缓存投毒(DNS cache poisoning)、DNS缓存投毒DNS污染,是指一些刻意制造或无意中制造出来的域名服务器数据包,把域名指往不正确的IP地址。一般来说,在互联网上都有可信赖的网域服务器,但为减低网络上的流量压力,一般的域名服务器都会把从上游的域名服务器获得的解析记录暂存起来,待下次有其他机器要求解析域名时,可以立即提供服务。一旦有关网域的局域域名服务器的缓存受到污染,就会把网域内的电脑导引往错误的服务器或服务器的网址。

域名服务器缓存污染可能是因为域名服务器软件的设计错误而产生,但亦可能由别有用心者透过研究开放架构的域名服务器系统来利用当中的漏洞。

透过变更Windows 2003的某些域名数据包设置,可以摒除有可疑的数据包。[1]

为防止局域的域名服务器缓存污染除了要定时更新服务器的软件以外,可能还需要人手变更某些设置,以控制服务器对可疑的域名数据包作出筛选。[1]

缓存污染攻击[编辑]

一般来说,一部连上了互联网的电脑都会使用互联网服务提供商提供的域名服务器。这个服务器一般只会服务供应商的客户,通常都会将部分客户曾经请求过的域名暂存起来,这种服务器被称为非权威服务器,其应答称非权威应答。缓存污染攻击就是针对这一种服务器,以影响服务器的用户或下游服务。

中国防火长城[编辑]

在中国大陆,对所有经过防火长城(英语:Great Firewall,常用简称:GFW)的在UDP的53端口上的域名查询进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,会马上伪装成目标域名的解析服务器返回虚假的查询结果。由于通常的域名查询没有任何认证机制,而且域名查询通常基于无连接不可靠的UDP协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。[2]

  • 对于不了解相关知识的网民来说,由于系统默认从使用的ISP所提供的域名查询服务器去查询国外的权威服务器时,即被防火长城污染,进而使其缓存受到污染,因此默认情况下查询ISP的服务器就会获得虚假IP地址;而用户直接查询境外域名查询服务器(比如 Google Public DNS)时有可能会直接被防火长城污染,从而在没有任何防范机制的情况下仍然不能获得目标网站正确的IP地址。[2]
  • 因为TCP连接的机制可靠,防火长城理论上未对TCP协议下的域名查询进行污染,故现在能透过强制使用TCP协议查询真实的IP地址。而现实的情况是,防火长城对于真实的IP地址也可能会采取其它的手段进行封锁,或者对查询行为使用连接重置的方法进行拦截,故能否真正访问可能还需要其它翻墙的手段。
  • 通常情况下无论使用设置在中国大陆的DNS服务还是使用设置在海外的DNS服务,因为解析结果都需要穿过GFW,所以都会被GFW污染。但是仍有一些设置在中国大陆的小型DNS使用技术手段回避GFW的污染并提供不受污染的结果,通常使用这些小型DNS也能够访问其他被封锁的网站。
  • 另外,DNS污染的污染IP不是一成不变的,污染的无效IP在一段时间后会更新。

污染攻击大事记[编辑]

  • 2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS域名污染域名劫持已影响国际互联网。[3][4]
  • 2014年1月21日下午三点半,中国互联网顶级域名解析不正常,出错网站解析到的IP是65.49.2.178,这个IP位于美国加利福尼亚州费利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由门的开发公司)租用于翻墙软件连接节点[5]
  • 2015年1月2日起,污染方式升级,不再是解析到固定的无效IP,而是随机地指向境外的有效IP。刚开始只是对YouTube视频域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[6]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[7]
  • 2016年3月29日起,防火长城针对Google升级了污染方式。在一开始升级过后,所有包含google, gmail等关键词的域名查询均被污染,导致很多用户一时间完全无法正常使用Gmail服务。之后,防火长城对规则进行了调整。其中,对于*.google.com域名污染主域名(google.com,不包括www)及部分服务域名(drive.google.com, plus.google.com等),而针对地区域名则选择性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地区的域名则不受影响(*.google.us等)。[8]
  • 目前大部分网站污染方式已恢复为解析到固定的无效IP,但小部分网站和新疆地区访问Google时仍会污染至有效IP(Google中国大陆境内的服务器IP)
  • 截至2020年,访问大部分被墙网站时,均会解析到随机的境外有效地址,如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1数据中心、美国 得克萨斯州达拉斯市SoftLayer科技公司等的IP。
  • 2021年,香港于1月起无法访问网站“香港编年史”,传媒消息称警方要求网络供应商屏蔽网站。[9][10]“香港编年史”于1月6日更改IP地址,但再次被封,共享同一IP的网站都无法访问,包括麻醉科临床药理期刊(Journal of Anaesthesiology Clinical Pharmacology, JOACP)及美国机器人科技公司Apptronik。

ISP域名劫持[编辑]

中国电信在当用户输入错误或无法解析的网址时就会显示旗下互联星空114网站。此乃2007年劫持Bloglines时的画面。

中国大陆的互联网服务提供商经常劫持部分域名,转到自己指定的网站,以提供自己的广告,污染方式为劫持域名不存在时返回的NXDOMAIN记录(Non-existent domain)返回自己服务器的IP,从而跳转至自己的服务器上显示广告等内容。

参见[编辑]

参考文献[编辑]

  1. ^ 1.0 1.1 如何防止 DNS 快取侵害. Microsoft 技术支持服务. 2007-02-28 [2008-08-21]. (原始内容存档于2015-02-15). 
  2. ^ 2.0 2.1 深入了解GFW:DNS污染. 2009-11-27 [2011-02-06]. (原始内容存档于2020-12-14). 
  3. ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始内容存档于2020-10-23). 
  4. ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始内容存档于2019-05-20). 
  5. ^ 大陆网络遭骇百度也停摆页面存档备份,存于互联网档案馆),中央社
  6. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2015-03-22]. (原始内容存档于2015-04-03). 
  7. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2015-03-22]. (原始内容存档于2015-04-02). 
  8. ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日]. [永久失效链接]
  9. ^ 載警員個人資料「香港編年史」網站無法連線 消息:警方國安處首引用《港區國安法》封網. [2021-01-12]. (原始内容存档于2021-01-15). 
  10. ^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. (原始内容存档于2021-01-12). 

外部链接[编辑]