本頁使用了標題或全文手工轉換

域名服務器緩存污染

維基百科,自由的百科全書
跳至導覽 跳至搜尋

網域伺服器快取污染(DNS cache pollution),又稱域名服務器緩存投毒(DNS cache poisoning)、DNS緩存投毒DNS污染,是指一些刻意製造或無意中製造出來的域名伺服器封包,把域名指往不正確的IP位址。一般來說,在互聯網上都有可信賴的網域伺服器,但為減低網絡上的流量壓力,一般的域名服務器都會把從上游的域名服務器獲得的解析記錄暫存起來,待下次有其他機器要求解析域名時,可以立即提供服務。一旦有關網域的局域域名服務器的緩存受到污染,就會把網域內的電腦導引往錯誤的服務器或伺服器的網址。

域名服務器快取污染可能是因為域名伺服器軟件的設計錯誤而產生,但亦可能由別有用心者透過研究開放架構的域名伺服器系統來利用當中的漏洞。

透過變更Windows 2003的某些域名封包設定,可以摒除有可疑的封包。[1]

為防止局域的域名伺服器緩存污染除了要定時更新伺服器的軟件以外,可能還需要人手變更某些設定,以控制伺服器對可疑的域名封包作出篩選。[1]

緩存污染攻擊[編輯]

一般來說,一部連上了互聯網的電腦都會使用互聯網服務供應商提供的域名伺服器。這個服務器一般只會服務供應商的客戶,通常都會將部分客戶曾經請求過的域名暫存起來,這種伺服器被稱為非權威伺服器,其應答稱非權威應答。快取污染攻擊就是針對這一種伺服器,以影響服務器的使用者或下游服務。

中國防火長城[編輯]

在中國大陸,對所有經過防火長城(英語:Great Firewall,常用簡稱:GFW)的在UDP的53端口上的域名查詢進行IDS入侵檢測,一經發現與黑名單關鍵詞相匹配的域名查詢請求,會馬上偽裝成目標域名的解析服務器返回虛假的查詢結果。由於通常的域名查詢沒有任何認證機制,而且域名查詢通常基於無連接不可靠的UDP協議,查詢者只能接受最先到達的格式正確結果,並丟棄之後的結果。[2]

  • 對於不了解相關知識的網民來說,由於系統默認從使用的ISP所提供的域名查詢服務器去查詢國外的權威服務器時,即被防火長城污染,進而使其緩存受到污染,因此默認情況下查詢ISP的服務器就會獲得虛假IP地址;而用戶直接查詢境外域名查詢伺服器(比如 Google Public DNS)時有可能會直接被防火長城污染,進而在沒有任何防範機制的情況下仍然不能獲得目標網站正確的IP地址。[2]
  • 因為TCP連接的機制可靠,防火長城理論上未對TCP協議下的域名查詢進行污染,故現在能透過強制使用TCP協議查詢真實的IP地址。而目前的情況是,防火長城對於真實的IP地址也可能會採取其它的手段進行封鎖,或者對查詢行為使用連接重置的方法進行攔截,故能否真正訪問可能還需要其它翻牆的手段。
  • 通常情況下無論使用設置在中國大陸的DNS服務還是使用設置在海外的DNS服務,因為解析結果都需要穿過GFW,所以都會被GFW污染。但是仍有一些設置在中國大陸的小型DNS使用技術手段迴避GFW的污染並提供不受污染的結果,通常使用這些小型DNS也能夠訪問其他被封鎖的網站。
  • 另外,DNS污染的污染IP不是一成不變的,污染的無效IP在一段時間後會更新。

污染攻擊大事記[編輯]

  • 2010年3月,當美國和智利的用戶試圖訪問熱門社交網站如facebook.com和youtube.com還有twitter.com等域名,他們的域名查詢請求轉交給中國控制的DNS根鏡像服務器處理,由於這些網站在中國被封鎖,結果用戶收到了錯誤的DNS解析信息,這意味着防火長城的DNS域名污染域名劫持已影響國際互聯網。[3][4]
  • 2014年1月21日下午三點半,中國互聯網頂級域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美國加利福尼亞州費利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由門的開發公司)租用於翻牆軟件連接節點[5]
  • 2015年1月2日起,污染方式升級,不再是解析到固定的無效IP,而是隨機地指向境外的有效IP。剛開始只是對YouTube影片域名(*.googlevideo.com)進行處理,之後逐漸擴大到大多數被污染的域名。[6]這導致了境外服務器遭受來自中國的DDoS攻擊,部分網站因此屏蔽中國IP。[7]
  • 2016年3月29日起,防火長城針對Google升級了污染方式。在一開始升級過後,所有包含google, gmail等關鍵詞的域名查詢均被污染,導致很多用戶一時間完全無法正常使用Gmail服務。之後,防火長城對規則進行了調整。其中,對於*.google.com域名污染主域名(google.com,不包括www)及部分服務域名(drive.google.com, plus.google.com等),而針對地區域名則選擇性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地區的域名則不受影響(*.google.us等)。[8]
  • 目前大部分網站污染方式已恢復為解析到固定的無效IP,但小部分網站和新疆地區訪問Google時仍會污染至有效IP(Google中國大陸境內的服務器IP)
  • 截至2020年,訪問大部分被牆網站時,均會解析到隨機的境外有效地址,如 美國 Facebook公司、愛爾蘭 Facebook分公司、荷蘭 北省阿姆斯特丹UTC+1數據中心、美國 得克薩斯州達拉斯市SoftLayer科技公司等的IP。
  • 2021年,香港於1月起無法訪問網站「香港編年史」,傳媒消息稱警方要求網絡供應商封鎖網站。[9][10]「香港編年史」於1月6日更改IP位址,但再次被封,共用同一IP的網站都無法訪問,包括麻醉科臨床藥理期刊(Journal of Anaesthesiology Clinical Pharmacology, JOACP)及美國機械人科技公司Apptronik。

ISP域名劫持[編輯]

中國電信在當用戶輸入錯誤或無法解析的網址時就會顯示旗下互聯星空114網站。此乃2007年劫持Bloglines時的畫面。

中國大陸的互聯網服務提供商經常劫持部分域名,轉到自己指定的網站,以提供自己的廣告,污染方式為劫持域名不存在時返回的NXDOMAIN記錄(Non-existent domain)返回自己服務器的IP,從而跳轉至自己的服務器上顯示廣告等內容。

參見[編輯]

參考文獻[編輯]

  1. ^ 1.0 1.1 如何防止 DNS 快取侵害. Microsoft 技術支援服務. 2007-02-28 [2008-08-21]. (原始內容存檔於2015-02-15). 
  2. ^ 2.0 2.1 深入了解GFW:DNS污染. 2009-11-27 [2011-02-06]. (原始內容存檔於2020-12-14). 
  3. ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始內容存檔於2020-10-23). 
  4. ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始內容存檔於2019-05-20). 
  5. ^ 大陸網路遭駭百度也停擺頁面存檔備份,存於網際網路檔案館),中央社
  6. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2015-03-22]. (原始內容存檔於2015-04-03). 
  7. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2015-03-22]. (原始內容存檔於2015-04-02). 
  8. ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日]. [永久失效連結]
  9. ^ 載警員個人資料「香港編年史」網站無法連線 消息:警方國安處首引用《港區國安法》封網. [2021-01-12]. (原始內容存檔於2021-01-15). 
  10. ^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. (原始內容存檔於2021-01-12). 

外部連結[編輯]