域名伺服器快取汙染

網域伺服器快取汙染（英語：DNS cache pollution）、DNS汙染或DNS劫持，是一種破壞域名系統查詢解析的行為。^[1]通常有電腦程式自動執行DNS劫持攻擊導致DNS伺服器快取了錯誤記錄的現象。而域名伺服器快取投毒（DNS cache poisoning）和DNS快取投毒指由電腦程式執行的DNS劫持攻擊。汙染一詞可能取自域名系統域名解析之特性，若遞迴DNS解析器查詢上游時收到錯誤回覆，所有下游也會受影響。

這些篡改可能是出於惡意目的，例如網路釣魚；也可能是出於網際網路服務提供者(ISP)的自身目的，例如防火長城以及公共或路由器提供的DNS服務提供商將使用者的網路流量引導至ISP自己的web伺服器，以便投放廣告、收集統計資料或實現ISP的其他目的；還可能是DNS服務提供商為了阻止對特定域名的訪問而採取的一種審查形式。

快取汙染攻擊

DNS劫持是一類旁觀者攻擊，攻擊者藉由其在網路拓撲中的特殊位置，傳送比真實的DNS回應更早到達攻擊目標的偽造DNS回應。一部連上了網際網路的電腦一般都會使用網際網路服務提供者提供的遞迴DNS伺服器，這個伺服器通常都會將部分客戶曾經請求過的域名暫存起來。快取汙染攻擊就是針對這一特性，影響伺服器的使用者或下游服務。

中國防火長城

防火長城向查詢zh.wikipedia.org的DNS請求注入偽造回覆（使用dig測試）

2020年，伊朗當局採用相同的方法封鎖維基百科。

在中國大陸，對所有經過防火長城（英語：Great Firewall，常用簡稱：GFW）的在UDP的53埠上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標解析伺服器注入偽造的查詢結果。攻擊僅出現在DNS查詢之路由經過防火長城時^{[註 1]}。偽造的查詢結果中的IP位址不是一成不變的，在一段時間後會更新。^[2]^[3]

對於TCP協定下的域名查詢，防火長城可使用TCP重設攻擊的方法進行干擾。

流氓DNS伺服器

流氓DNS伺服器將使用者期望訪問的網站域名（例如搜尋引擎、銀行、經紀公司等）解析為包含非預期內容，甚至是惡意網站的IP位址。大多數使用者依賴於由其網際網路服務提供者自動分配的 DNS 伺服器。路由器分配的DNS伺服器也可以通過遠端利用路由器韌體中的漏洞來更改。^[4]當使用者嘗試造訪網站時，他們會被重新導向到一個虛假網站。這種攻擊被稱為域名劫持。如果他們被重新導向到的網站是一個惡意網站，偽裝成合法網站，目的是欺詐性地取得敏感資訊，則稱為網路釣魚。^[5]

網際網路服務提供者

中國大陸的網際網路服務提供者經常劫持部分域名，轉到自己指定的網站，以提供自己的廣告，方式為劫持域名不存在時返回的NXDOMAIN記錄（Non-existent domain）返回自己伺服器的IP，從而跳轉至自己的伺服器上顯示廣告等內容。

2021年，香港於1月起無法訪問網站「香港編年史」，傳媒訊息稱警方要求網路供應商封鎖網站。^[6]^[7]「香港編年史」於1月6日更改IP位址，但再次被封，共享同一IP的網站都無法訪問，包括麻醉科臨床藥理期刊（Journal of Anaesthesiology Clinical Pharmacology, JOACP）及美國機器人科技公司Apptronik。

應對

DNSSEC技術為DNS解析服務提供了解析資料驗證機制，理論上可以有效抵禦劫持。此外，DNSCrypt、DoT、DoH等方法通過將DNS請求封裝於安全連接內，以保護DNS請求中的資料不被中間傳輸裝置篡改。

注釋

^ 中國大陸使用者查詢當地的DNS伺服器收到錯誤結果是快取所致，其並沒有直接受到防火長城的DNS劫持攻擊。

參考文獻

^ What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] （美國英語）.
^ Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.
^ 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.
^ Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] （美國英語）.
^ Rogue Domain Name System Servers. Trend Micro. [2007-12-15].
^ 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.
^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

參見

外部連結

BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
Predictable transaction IDs in Microsoft DNS server allow cache poisoning
SANS DNS cache poisoning update
DNS Threats & Weaknesses: research and presentations
Blocking Unwanted Domain Names（頁面存檔備份，存於網際網路檔案館） Creative Usage of the Hosts File
Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
Movie explaining DNS Cache Poisioning

[2] 中國大陸使用者查詢當地的DNS伺服器收到錯誤結果是快取所致，其並沒有直接受到防火長城的DNS劫持攻擊。

[1] What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] （美國英語）.

[foci20-3] Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.

[gfw-4] 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.

[5] Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] （美國英語）.

[6] Rogue Domain Name System Servers. Trend Micro. [2007-12-15].

[7] 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.

[8] 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

[1]

[註 1]

[2]

[3]

[4]

[5]

[6]

[7]