域名服務器緩存污染

2019-11-06 08:49:15

字體：大中小

來源：轉載

供稿：網友

域名服務器緩存污染

維基百科，自由的百科全書（重定向自DNS污染）

域名服務器緩存污染可能是因為域名服務器軟件的設計錯誤而產生，但亦可能由別有用心者透過研究開放架構的域名服務器系統來利用當中的漏洞。域名服務器緩存污染（DNS cache pollution），又稱域名服務器緩存投毒（DNS cache poisoning），是指一些刻意制造或無意中制造出來的域名服務器封包，把域名指往不正確的ip地址。一般來說，在互聯網上都有可信賴的域名服務器，但為減低網絡上的流量壓力，一般的域名服務器都會把從上游的域名服務器獲得的解析記錄暫存起來，待下次有其他機器要求解析域名時，可以立即提供服務。一旦有關域名的局域域名服務器的緩存受到污染，就會把域名內的電腦導引往錯誤的服務器或服務器的網址。

透過變更Windows 2003的某些域名封包設定，可以摒除有可疑的封包。^[1]

為防止局域的域名服務器緩存污染除了要定時更新服務器的軟件以外，可能還需要人手變更某些設定，以控制服務器對可疑的域名封包作出篩選。^[1]

緩存污染攻擊[編輯]

一般來說，一部連上了互聯網的電腦都會使用互聯網服務供應商提供的域名服務器。這個服務器一般只會服務供應商的客戶，通常都會將部分客戶曾經請求過的域名暫存起來，這種服務器被稱為非權威服務器，其應答稱非權威應答。緩存污染攻擊就是針對這一種服務器，以影響服務器的使用者或下游服務。

中國防火長城[編輯]

在中國大陸，對所有經過防火長城的在UDP的53端口上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標域名的解析服務器返回虛假的查詢結果。由于通常的域名查詢沒有任何認證機制，而且域名查詢通常基于無連接不可靠的UDP協議，查詢者只能接受最先到達的格式正確結果，并丟棄之后的結果。^[2]

對于不了解相關知識的網民來說，由于系統默認使用的ISP提供的域名查詢服務器查詢國外的權威服務器時即被防火長城污染，進而使其緩存受到污染，因此默認情況下查詢ISP的服務器就會獲得虛假IP地址；而用戶直接查詢境外域名查詢服務器（比如 Google Public DNS）時有可能會直接被防火長城污染，從而在沒有任何防范機制的情況下仍然不能獲得目標網站正確的IP地址。^[2]因為TCP連接的機制可靠，防火長城理論上未對TCP協議下的域名查詢進行污染，故現在能透過強制使用TCP協議查詢真實的IP地址。而現實的情況是，防火長城對于真實的IP地址也可能會采取其它的手段進行封鎖，或者對查詢行為使用連接重置的方法進行攔截，故能否真正訪問可能還需要其它翻墻的手段。根據互聯網上長期收集到的污染目標的虛假IP地址列表，防火長城會將黑名單內的域名重新導向至不限于以下列表的IP地址：^[3]

IPv4環境[編輯]

4.36.66.1788.7.198.4523.89.5.6037.61.54.15846.82.174.6849.2.123.5654.76.135.159.24.3.17364.33.88.16164.33.99.4764.66.163.25165.104.202.25265.160.219.11366.45.252.23772.14.205.9972.14.205.10477.4.7.9278.16.49.1593.46.8.89118.5.49.6128.121.126.139159.106.121.75169.132.13.103185.85.13.155188.5.4.96189.163.17.5192.67.198.6197.4.4.12202.106.1.2202.181.7.85203.98.7.65203.161.230.171207.12.88.98208.56.31.43209.36.73.33209.145.54.50209.220.30.174211.94.66.147213.169.251.35216.221.188.182216.234.179.13243.185.187.39249.129.46.48253.157.14.165

一個比較特別的例子是 Google+ 的域名 plus.google.com 被重新導向至Google自己的服務器以封鎖IP地址的形式進行封鎖：

74.125.31.11374.125.39.10274.125.39.11374.125.127.10274.125.130.4774.125.155.102209.85.229.138210.242.125.20

一個比較特別的例子是 YouTube 影片服務器的域名 r*.googlevideo.com 還擁有一份特別的投毒污染地址列表：

0.0.0.02.1.1.24.193.80.08.105.84.012.87.133.016.63.155.020.139.56.024.51.184.028.121.126.13928.13.216.046.20.126.25246.38.24.20961.54.28.666.206.11.19474.117.57.13889.31.55.106113.11.194.190118.5.49.6122.218.101.190123.50.49.171123.126.249.238125.230.148.48127.0.0.2173.201.216.6203.199.57.81208.109.138.55211.5.133.18211.8.69.27213.186.33.5216.139.213.144221.8.69.27243.185.187.3243.185.187.30

IPv6環境[編輯]

1.1.1.11.2.3.410.10.10.1020.20.20.20255.255.255.255 ::90xx:xxxx:0:010::222221:2::2101::12342001::2122001:DA8:112::21AE2003:FF:1:2:3:4:5FFF:xxxx2123::3E12200:2:253d:369e::200:2:4e10:310f::200:2:2e52:ae44::200:2:807:c62d::200:2:cb62:741::200:2:f3b9:bb27::200:2:5d2e:859::200:2:9f6a:794b::200:2:3b18:3ad::

污染攻擊大事記[編輯]

2010年3月，當美國和智利的用戶試圖訪問熱門社交網站如facebook.com和youtube.com還有twitter.com等域名，他們的域名查詢請求轉交給中國控制的DNS根鏡像服務器處理，由于這些網站在中國被封鎖，結果用戶收到了錯誤的DNS解析信息，這意味著防火長城的DNS域名污染域名劫持已影響國際互聯網。2010年4月8日，中國大陸一個小型ISP的錯誤路由數據，經過中國電信的二次傳播，擴散到了整個國際互聯網，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefónica等多個國家的大型ISP。2012年11月9日下午3點半開始，防火長城對Google的泛域名 .google.com 進行了大面積的污染，所有以 .google.com 結尾的域名均遭到污染而解析錯誤不能正常訪問，其中甚至包括不存在的域名，而Google為各國定制的域名也遭到不同程度的污染（因為Google通過使用CNAME記錄來平衡訪問的流量，CNAME記錄大多亦為 .google.com 結尾），但Google擁有的其它域名如 .googleusercontent.com 等則不受影響。有網友推測這也許是自防火長城創建以來最大規模的污染事件，而Google被大面積阻礙連接則是因為中共正在召開的十八大。2014年1月21日下午三點半，中國互聯網頂級域名解析不正常，出錯網站解析到的網址是65.49.2.178，這個IP位于美國加利福尼亞州費利蒙市Hurricane Electric公司，被Dynamic Internet Technology（即自由門的開發公司）租用于翻墻軟件連接節點^[4]。2015年1月2日起，污染方式升級，不再是解析到固定的無效IP，而是隨機地指向境外的有效IP。剛開始只是對YouTube影片域名（*.googlevideo.com）進行處理，之后逐漸擴大到大多數被污染的域名。^[5]這導致了境外服務器遭受來自中國的DDoS攻擊，部分網站因此屏蔽中國IP。^[6]2016年3月29日起，防火長城針對Google升級了污染方式。在一開始升級過后，所有包含google, Gmail等關鍵詞的域名查詢均被污染，導致很多用戶一時間完全無法正常使用Gmail服務。之后，防火長城對規則進行了調整。其中，對于*.google.com域名污染主域名（google.com，不包括www）及部分服務域名（drive.google.com, plus.google.com等），而針對地區域名則選擇性地污染泛域名（*.google.com.hk, *.google.co.kr, *.google.ru等），其他地區的域名則不受影響（*.google.us等）。^[7]目前污染方式已恢復為解析到固定的無效IP，并且 twitter youtube google 等網站均使用泛解析方式域名污染。