DNS緩存投毒攻擊是指攻擊者欺騙DNS服務(wù)器相信偽造的DNS響應(yīng)的真實(shí)性。這種類型攻擊的目的是將依賴于此DNS服務(wù)器的受害者重定向到其他的地址，例如，將所有訪問(wèn)www.cnn.com的請(qǐng)求重定向到www.playboy.com。這種類型的攻擊的已存在的典型應(yīng)用是釣魚(yú)方式的攻擊，將一個(gè)想到銀行的訪問(wèn)重定向到黑客所有的偽造網(wǎng)站。

一個(gè)DNS SRV記錄幫助SIP電話進(jìn)行撥號(hào)，就像MX記錄幫助將E-mail地址映射為正確的郵件服務(wù)器。一些場(chǎng)合開(kāi)始應(yīng)用DNS SRV記錄來(lái)將特定SIP請(qǐng)求轉(zhuǎn)發(fā)到特定的代理服務(wù)器，特別是在公司外的服務(wù)器。這樣的方式蘊(yùn)涵著特別的危險(xiǎn)，如果攻擊者能夠篡改這些資料列表，來(lái)將所有到一個(gè)區(qū)域的呼叫重定向到他所控制的外部代理服務(wù)器。

一個(gè)簡(jiǎn)單的DNS緩存投毒攻擊如下所示，引用自DNS審計(jì)工具DNSA的文檔，詳見(jiàn)http://www.packetfactory.net/projects/dnsa：

./dnsa -3 -D the_host_IP_which_is_asked_for -S  
 
normal_host_IP -s DNS_server_which_is_doing_the_request -a  
 
host_in_additional_record -b ip_in_the_additional_record -i INTERFACE  
 
./dnsa -3 -D hacker.pirate.org -S 100.101.102.103 -s  
 
194.117.200.10 -a www.microsoft.com -b 1.2.3.4 -i eth0 

DNS緩存投毒對(duì)策

DNS緩存投毒幾乎可以完全避免（實(shí)際上并非如此--譯者注），前提是對(duì)DNS服務(wù)器進(jìn)行了合理的配置。這包括強(qiáng)制服務(wù)器檢查其他非權(quán)威的服務(wù)器轉(zhuǎn)發(fā)的DNS響應(yīng)信息，并丟棄任何返回的與最初的查詢不相關(guān)DNS響應(yīng)記錄。許多最新的DNS服務(wù)器在默認(rèn)配置下已經(jīng)不再受此類攻擊影響。

【編輯推薦】

1. 不再恐懼 DNSPod安全系數(shù)升級(jí)的背后
2. 近期關(guān)于DNS服務(wù)器的網(wǎng)絡(luò)安全事件
3. 安全問(wèn)題能否將DNS推入云服務(wù)
4. Cisco IP電話解決方案存在SIP消息非授權(quán)呼叫漏洞