域名服務器緩存污染

網域伺服器快取污染（DNS cache pollution）或DNS污染，是指由於防火長城自動執行DNS劫持攻擊導致DNS服務器緩存了錯誤記錄的現象。而域名服務器緩存投毒（DNS cache poisoning）和DNS緩存投毒指由防火長城執行的DNS劫持攻擊。污染一詞可能取自域名系統域名解析之特性，若遞歸DNS解析器查詢上游時收到錯誤回復，所有下游也會受影響。

緩存污染攻擊[編輯]

DNS劫持是一類旁觀者攻擊，攻擊者藉由其在網絡拓撲中的特殊位置，發送比真實的DNS回應更早到達攻擊目標的偽造DNS回應。一部連上了互聯網的電腦一般都會使用互聯網服務供應商提供的遞歸DNS服務器，這個服務器通常都會將部分客戶曾經請求過的域名暫存起來。快取污染攻擊就是針對這一特性，影響服務器的使用者或下游服務。

中國防火長城[編輯]

在中國大陸，對所有經過防火長城（英語：Great Firewall，常用簡稱：GFW）的在UDP的53端口上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標解析服務器注入偽造的查詢結果。攻擊僅出現在DNS查詢之路由經過防火長城時^{[註 1]}。偽造的查詢結果中的IP地址不是一成不變的，在一段時間後會更新。^[1]^[2]

對於TCP協議下的域名查詢，防火長城可使用TCP重置攻擊的方法進行干擾。

互聯網服務提供商[編輯]

中國大陸的互聯網服務提供商經常劫持部分域名，轉到自己指定的網站，以提供自己的廣告，方式為劫持域名不存在時返回的NXDOMAIN記錄（Non-existent domain）返回自己服務器的IP，從而跳轉至自己的服務器上顯示廣告等內容。

2021年，香港於1月起無法訪問網站「香港編年史」，傳媒消息稱警方要求網絡供應商封鎖網站。^[3]^[4]「香港編年史」於1月6日更改IP位址，但再次被封，共用同一IP的網站都無法訪問，包括麻醉科臨床藥理期刊（Journal of Anaesthesiology Clinical Pharmacology, JOACP）及美國機械人科技公司Apptronik。

應對[編輯]

DNSSEC技術為DNS解析服務提供了解析數據驗證機制，理論上可以有效抵禦劫持。此外，DNSCrypt、DoT、DoH等方法通過將DNS請求封裝於安全連接內，以保護DNS請求中的數據不被中間傳輸設備篡改。

注釋[編輯]

^ 中國大陸用戶查詢當地的DNS服務器收到錯誤結果是緩存所致，其並沒有直接受到防火長城的DNS劫持攻擊。

參考文獻[編輯]

^ Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.
^ 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.
^ 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.
^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

參見[編輯]

外部連結[編輯]

BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
Predictable transaction IDs in Microsoft DNS server allow cache poisoning
SANS DNS cache poisoning update
DNS Threats & Weaknesses: research and presentations
Blocking Unwanted Domain Names（頁面存檔備份，存於網際網路檔案館） Creative Usage of the Hosts File
Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
Movie explaining DNS Cache Poisioning

[1] 中國大陸用戶查詢當地的DNS服務器收到錯誤結果是緩存所致，其並沒有直接受到防火長城的DNS劫持攻擊。

[foci20-2] Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.

[gfw-3] 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.

[4] 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.

[5] 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

[註 1]

[1]

[2]

[3]

[4]