域名服務器緩存污染 - 維基百科，自由的百科全書

此條目論述以部分區域為主，未必有普世通用的觀點。 (2023年11月12日)
請協助補充內容以避免偏頗，或討論本文的問題。

網域伺服器快取污染（DNS cache pollution）或DNS污染，是指由於防火長城自動執行DNS劫持攻擊導致DNS服務器緩存了錯誤記錄的現象。而域名服務器緩存投毒（DNS cache poisoning）和DNS緩存投毒指由防火長城執行的DNS劫持攻擊。污染一詞可能取自域名系統域名解析之特性，若遞歸DNS解析器查詢上游時收到錯誤回復，所有下游也會受影響。

緩存污染攻擊

DNS劫持是一類旁觀者攻擊，攻擊者藉由其在網絡拓撲中的特殊位置，發送比真實的DNS回應更早到達攻擊目標的偽造DNS回應。一部連上了互聯網的電腦一般都會使用互聯網服務供應商提供的遞歸DNS服務器，這個服務器通常都會將部分客戶曾經請求過的域名暫存起來。快取污染攻擊就是針對這一特性，影響服務器的使用者或下游服務。

中國防火長城

在中國大陸，對所有經過防火長城（英語：Great Firewall，常用簡稱：GFW）的在UDP的53端口上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標解析服務器注入偽造的查詢結果。攻擊僅出現在DNS查詢之路由經過防火長城時^{[註 1]}。偽造的查詢結果中的IP地址不是一成不變的，在一段時間後會更新。^[1]^[2]

對於TCP協議下的域名查詢，防火長城可使用TCP重置攻擊的方法進行干擾。

互聯網服務提供商

中國大陸的互聯網服務提供商經常劫持部分域名，轉到自己指定的網站，以提供自己的廣告，方式為劫持域名不存在時返回的NXDOMAIN記錄（Non-existent domain）返回自己服務器的IP，從而跳轉至自己的服務器上顯示廣告等內容。

2021年，香港於1月起無法訪問網站「香港編年史」，傳媒消息稱警方要求網絡供應商封鎖網站。^[3]^[4]「香港編年史」於1月6日更改IP位址，但再次被封，共用同一IP的網站都無法訪問，包括麻醉科臨床藥理期刊（Journal of Anaesthesiology Clinical Pharmacology, JOACP）及美國機械人科技公司Apptronik。

應對

DNSSEC技術為DNS解析服務提供了解析數據驗證機制，理論上可以有效抵禦劫持。此外，DNSCrypt、DoT、DoH等方法通過將DNS請求封裝於安全連接內，以保護DNS請求中的數據不被中間傳輸設備篡改。

注釋

^ 中國大陸用戶查詢當地的DNS服務器收到錯誤結果是緩存所致，其並沒有直接受到防火長城的DNS劫持攻擊。

參考文獻

^ Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.
^ 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.
^ 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.
^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

參見

外部連結

維基學院中的相關研究或學習資源：域名服務器緩存污染

BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
Predictable transaction IDs in Microsoft DNS server allow cache poisoning
SANS DNS cache poisoning update
DNS Threats & Weaknesses: research and presentations
Blocking Unwanted Domain Names（頁面存檔備份，存於網際網路檔案館） Creative Usage of the Hosts File
Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
Movie explaining DNS Cache Poisioning

閱論編電腦入侵

事件	2003年驟雨計劃 2009年極光行動 2010年澳大利亞網絡攻擊（英語：February 2010 Australian cyberattacks） 2010年償還行動（英語：Operation Payback） 2011年DigiNotar黑客入侵事件 2011年突尼斯行動（英語：Operation Tunisia） 2011年PSN個人信息泄露事件 2011年反安全行動（英語：Operation AntiSec） 2012–2013年斯特拉特福公司電郵泄露事件 2012年領英黑客入侵事件（英語：2012 LinkedIn hack） 2013年南韓網絡攻擊（英語：2013 South Korea cyberattack） 2013年Snapchat黑客入侵事件 2014年Tovar行動（英語：Operation Tovar） 2014年日本文殊核電站電腦病毒事件 2014年名人照片泄露事件 2014年心臟出血漏洞 2014年破殼漏洞 2014年貴賓犬漏洞 2014年索尼影業黑客入侵事件 2015年FREAK漏洞 2015年美國聯邦人事管理局資料外泄案偉易達集團孟加拉銀行遭黑客入侵事件 Dyn網絡攻擊俄羅斯干預美國總統選舉 WannaCry勒索病毒 2017年威斯敏斯特網絡攻擊（英語：2017 Westminster cyberattack） Petya勒索病毒 2017年烏克蘭受網絡攻擊事件（英語：2017 cyberattacks on Ukraine） Equifax數據泄露德勤熔毀/幽靈漏洞美國中央情報局被指對中國大陸網絡滲透攻擊 Zoom轟炸 Twitter比特幣騙局 2020年美國聯邦政府數據泄露事件殖民管道網絡攻擊 Log4j2漏洞事件 2022年俄羅斯對烏克蘭的網絡攻擊上海公安數據庫泄露事件 2022年西北工業大學遭網絡攻擊事件 2023年美國五角大樓文件泄露事件

政府機構	美國網戰司令部美國國家安全局特定入侵行動辦公室美國互聯網犯罪投訴中心（英語：Internet Crime Complaint Center）中華人民共和國國家計算機網絡與信息安全管理中心中國人民解放軍網絡空間部隊朝鮮網絡部隊（日語：北朝鮮サイバー軍）（朝鮮人民軍第121局）敘利亞電子軍（英語：Syrian Electronic Army）日本網絡防衛隊（日語：自衛隊サイバー防衛隊）國際打擊網絡威脅多邊夥伴（英語：International Multilateral Partnership Against Cyber Threats）歐洲網絡犯罪中心（英語：European Cybercrime Centre）中華民國數位發展部中華民國國防部資通電軍指揮部烏克蘭資訊科技軍新加坡共和國數碼部隊

黑客組織	匿名者烏克蘭戰爭期間的行動（英語：Anonymous and the 2022 Russian invasion of Ukraine）網絡金雕（英語：CyberBerkut） Derp（英語：Derp (hacker group)） Goatse安全（英語：Goatse Security） Hacking Team 蜥蜴小隊（英語：Lizard Squad） LulzRaft（英語：LulzRaft） LulzSec NullCrew（英語：NullCrew） RedHack（英語：RedHack） TeaMp0isoN（英語：TeaMp0isoN）地下納粹（英語：UGNazi）混沌計算機俱樂部死牛崇拜紅客韓國網絡外交使節團 L0pht重工方程式隱形人安全集團 DarkSide APT 27 網絡游擊隊

個人	陳盈豪約翰·德雷珀（英語：John Draper）凱文·米特尼克下村努羅伯特·泰潘·莫里斯凱文·鮑爾森阿德里安·拉莫 Donncha O'Cearbhaill（英語：Donncha O'Cearbhaill）傑里米·哈蒙德（英語：Jeremy Hammond）喬治·霍茲古馳法（英語：Guccifer）阿爾伯特·岡薩雷斯（英語：Albert Gonzalez）赫克特·蒙賽格 (薩布)（英語：Hector Monsegur）傑克·戴維斯 (綠色雕塑)（英語：Topiary (hacktivist)）小丑 (The Jester)（英語：The Jester） weev（英語：weev）加里·麥金農（英語：Gary McKinnon）

惡意軟件	Careto (面具)（英語：Careto (malware)） CryptoLocker Dexter（英語：Dexter (malware)）毒區（英語：Duqu） FinFisher（英語：FinFisher）火焰 Gameover ZeuS（英語：Gameover ZeuS） Mahdi（英語：Mahdi (malware)） Metulji殭屍網絡（英語：Metulji botnet） NSA ANT產品目錄（英語：NSA ANT catalog） R2D2（英語：R2D2 (trojan)） Shamoon（英語：Shamoon） Stars（英語：Stars virus）震網黑暗幽靈 (DCM) 震盪波蠕蟲手機惡意軟件（英語：Mobile malware） TeslaCrypt VPNFilter WannaCry Petya 瑞晶 peacenotwar（英語：peacenotwar）

概念·思想	《黑客宣言》網絡戰網路恐怖主義黑客行動主義駭客電腦犯罪軟件破解（逆向工程）

手段·技術	安全漏洞漏洞利用高級長期威脅（APT）零日攻擊 DNS污染緩衝區溢出堆風水（英語：Heap feng shui）堆噴射（英語：Heap spraying）窮舉攻擊/蠻力攻擊跨站腳本攻擊（XSS）水坑攻擊偷渡式下載 SQL注入中間人攻擊中途相遇攻擊谷歌駭侵法

網際網路審查規避技術

背景

原理

藉助代理服務器	P2P 網頁代理 SSH VPN 代理自動配置反向代理

不藉助代理服務器	HTTPS desync Hosts DNSCrypt 域前置 ESNI/ECH 折射網絡

連線軟件

自由軟件	賽風 ~~西廂計劃~~ ~~fqrouter~~ ~~GoAgent~~ → XX-Net Shadowsocks Outline VPN ~~ShadowsocksR~~ ~~V2Ray~~ V2Fly ~~Clash~~ VPN Gate WireGuard ~~INTANG~~ Trojan Geneva Tcpioneer GoodbyeDPI

專有軟件	自由門無界瀏覽 Hotspot Shield ~~世界通~~ ~~逍遙遊~~ ~~火鳳凰~~ ~~花園網~~ ~~Puff~~ Telex 自由瀏覽 ~~Tuber瀏覽器~~ ExpressVPN 藍燈

瀏覽器擴展	~~uProxy~~ 紅杏

匿名代理

匿名軟件	Tor I2P JAP

匿名P2P（英語：Anonymous P2P）網絡	ZeroNet Freenet StealthNet

相關團體

相關人物

阮曉寰

~~刪除線~~：原開發者停止維護。