域名服務器緩存污染

網域伺服器快取污染（英語：DNS cache pollution）、DNS污染或DNS劫持，是一種破壞域名系統查詢解析的行為。^[1]通常有計算機程序自動執行DNS劫持攻擊導致DNS服務器緩存了錯誤記錄的現象。而域名服務器緩存投毒（DNS cache poisoning）和DNS緩存投毒指由計算機程序執行的DNS劫持攻擊。污染一詞可能取自域名系統域名解析之特性，若遞歸DNS解析器查詢上游時收到錯誤回復，所有下游也會受影響。

這些篡改可能是出於惡意目的，例如網絡釣魚；也可能是出於互聯網服務提供商(ISP)的自身目的，例如防火長城以及公共或路由器提供的DNS服務提供商將用戶的網絡流量引導至ISP自己的web服務器，以便投放廣告、收集統計數據或實現ISP的其他目的；還可能是DNS服務提供商為了阻止對特定域名的訪問而採取的一種審查形式。

緩存污染攻擊

DNS劫持是一類旁觀者攻擊，攻擊者藉由其在網絡拓撲中的特殊位置，發送比真實的DNS回應更早到達攻擊目標的偽造DNS回應。一部連上了互聯網的電腦一般都會使用互聯網服務供應商提供的遞歸DNS服務器，這個服務器通常都會將部分客戶曾經請求過的域名暫存起來。快取污染攻擊就是針對這一特性，影響服務器的使用者或下游服務。

中國防火長城

防火長城向查詢zh.wikipedia.org的DNS請求注入偽造回復（使用dig測試）

2020年，伊朗當局採用相同的方法屏蔽維基百科。

在中國大陸，對所有經過防火長城（英語：Great Firewall，常用簡稱：GFW）的在UDP的53端口上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標解析服務器注入偽造的查詢結果。攻擊僅出現在DNS查詢之路由經過防火長城時^{[註 1]}。偽造的查詢結果中的IP地址不是一成不變的，在一段時間後會更新。^[2]^[3]

對於TCP協議下的域名查詢，防火長城可使用TCP重置攻擊的方法進行干擾。

流氓DNS服務器

流氓DNS服務器將用戶期望訪問的網站域名（例如搜索引擎、銀行、經紀公司等）解析為包含非預期內容，甚至是惡意網站的IP地址。大多數用戶依賴於由其互聯網服務提供商自動分配的 DNS 服務器。路由器分配的DNS服務器也可以通過遠程利用路由器固件中的漏洞來更改。^[4]當用戶嘗試訪問網站時，他們會被重定向到一個虛假網站。這種攻擊被稱為域名劫持。如果他們被重定向到的網站是一個惡意網站，偽裝成合法網站，目的是欺詐性地獲取敏感信息，則稱為網絡釣魚。^[5]

互聯網服務提供商

中國大陸的互聯網服務提供商經常劫持部分域名，轉到自己指定的網站，以提供自己的廣告，方式為劫持域名不存在時返回的NXDOMAIN記錄（Non-existent domain）返回自己服務器的IP，從而跳轉至自己的服務器上顯示廣告等內容。

2021年，香港於1月起無法訪問網站「香港編年史」，傳媒消息稱警方要求網絡供應商封鎖網站。^[6]^[7]「香港編年史」於1月6日更改IP位址，但再次被封，共用同一IP的網站都無法訪問，包括麻醉科臨床藥理期刊（Journal of Anaesthesiology Clinical Pharmacology, JOACP）及美國機械人科技公司Apptronik。

應對

DNSSEC技術為DNS解析服務提供了解析數據驗證機制，理論上可以有效抵禦劫持。此外，DNSCrypt、DoT、DoH等方法通過將DNS請求封裝於安全連接內，以保護DNS請求中的數據不被中間傳輸設備篡改。

注釋

^ 中國大陸用戶查詢當地的DNS服務器收到錯誤結果是緩存所致，其並沒有直接受到防火長城的DNS劫持攻擊。

參考文獻

^ What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] （美國英語）.
^ Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.
^ 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.
^ Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] （美國英語）.
^ Rogue Domain Name System Servers. Trend Micro. [2007-12-15].
^ 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.
^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

參見

外部連結

BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
Predictable transaction IDs in Microsoft DNS server allow cache poisoning
SANS DNS cache poisoning update
DNS Threats & Weaknesses: research and presentations
Blocking Unwanted Domain Names（頁面存檔備份，存於網際網路檔案館） Creative Usage of the Hosts File
Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
Movie explaining DNS Cache Poisioning

[2] 中國大陸用戶查詢當地的DNS服務器收到錯誤結果是緩存所致，其並沒有直接受到防火長城的DNS劫持攻擊。

[1] What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] （美國英語）.

[foci20-3] Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.

[gfw-4] 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.

[5] Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] （美國英語）.

[6] Rogue Domain Name System Servers. Trend Micro. [2007-12-15].

[7] 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.

[8] 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

[1]

[註 1]

[2]

[3]

[4]

[5]

[6]

[7]