域名伺服器快取污染

網域伺服器快取污染（英語：DNS cache pollution）、DNS污染或DNS劫持，是一種破壞域名系統查詢解析的行為。^[1]通常有電腦程式自動執行DNS劫持攻擊導致DNS伺服器快取了錯誤記錄的現象。而域名伺服器快取投毒（DNS cache poisoning）和DNS快取投毒指由電腦程式執行的DNS劫持攻擊。污染一詞可能取自域名系統域名解析之特性，若遞歸DNS解析器查詢上游時收到錯誤回覆，所有下游也會受影響。

這些篡改可能是出於惡意目的，例如網絡釣魚；也可能是出於互聯網服務供應商(ISP)的自身目的，例如防火長城以及公共或路由器提供的DNS服務提供商將用戶的網絡流量引導至ISP自己的web伺服器，以便投放廣告、收集統計數據或實現ISP的其他目的；還可能是DNS服務提供商為了阻止對特定域名的訪問而採取的一種審查形式。

快取污染攻擊

DNS劫持是一類旁觀者攻擊，攻擊者藉由其在網絡拓撲中的特殊位置，傳送比真實的DNS回應更早到達攻擊目標的偽造DNS回應。一部連上了互聯網的電腦一般都會使用互聯網服務供應商提供的遞歸DNS伺服器，這個伺服器通常都會將部分客戶曾經請求過的域名暫存起來。快取污染攻擊就是針對這一特性，影響伺服器的用戶或下游服務。

中國防火長城

在中國大陸，對所有經過防火長城（英語：Great Firewall，常用簡稱：GFW）的在UDP的53埠上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標解析伺服器注入偽造的查詢結果。攻擊僅出現在DNS查詢之路由經過防火長城時^{[註 1]}。偽造的查詢結果中的IP位址不是一成不變的，在一段時間後會更新。^[2]^[3]

對於TCP協定下的域名查詢，防火長城可使用TCP重設攻擊的方法進行干擾。

流氓DNS伺服器

流氓DNS伺服器將用戶期望訪問的網站域名（例如搜尋引擎、銀行、經紀公司等）解析為包含非預期內容，甚至是惡意網站的IP位址。大多數用戶依賴於由其互聯網服務供應商自動分配的 DNS 伺服器。路由器分配的DNS伺服器也可以通過遠端利用路由器韌體中的漏洞來更改。^[4]當用戶嘗試訪問網站時，他們會被重新導向到一個虛假網站。這種攻擊被稱為域名劫持。如果他們被重新導向到的網站是一個惡意網站，偽裝成合法網站，目的是欺詐性地取得敏感資訊，則稱為網絡釣魚。^[5]

互聯網服務供應商

中國大陸的互聯網服務供應商經常劫持部分域名，轉到自己指定的網站，以提供自己的廣告，方式為劫持域名不存在時返回的NXDOMAIN記錄（Non-existent domain）返回自己伺服器的IP，從而跳轉至自己的伺服器上顯示廣告等內容。

2021年，香港於1月起無法訪問網站「香港編年史」，傳媒訊息稱警方要求網絡供應商封鎖網站。^[6]^[7]「香港編年史」於1月6日更改IP地址，但再次被封，共用同一IP的網站都無法訪問，包括麻醉科臨床藥理期刊（Journal of Anaesthesiology Clinical Pharmacology, JOACP）及美國機械人科技公司Apptronik。

應對

DNSSEC技術為DNS解析服務提供了解析數據驗證機制，理論上可以有效抵禦劫持。此外，DNSCrypt、DoT、DoH等方法通過將DNS請求封裝於安全連接內，以保護DNS請求中的數據不被中間傳輸裝置篡改。

註釋

^ 中國大陸用戶查詢當地的DNS伺服器收到錯誤結果是快取所致，其並沒有直接受到防火長城的DNS劫持攻擊。

參考文獻

^ What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] （美國英語）.
^ Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.
^ 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.
^ Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] （美國英語）.
^ Rogue Domain Name System Servers. Trend Micro. [2007-12-15].
^ 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.
^ 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

參見

外部連結

BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
Predictable transaction IDs in Microsoft DNS server allow cache poisoning
SANS DNS cache poisoning update
DNS Threats & Weaknesses: research and presentations
Blocking Unwanted Domain Names（頁面存檔備份，存於互聯網檔案館） Creative Usage of the Hosts File
Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
Movie explaining DNS Cache Poisioning

[2] 中國大陸用戶查詢當地的DNS伺服器收到錯誤結果是快取所致，其並沒有直接受到防火長城的DNS劫持攻擊。

[1] What is a DNS Hijacking | Redirection Attacks Explained | Imperva. Learning Center. [2020-12-13] （美國英語）.

[foci20-3] Anonymous; Arian Akhavan Niaki; Nguyen Phong Hoang; Phillipa Gill; Amir Houmansadr. Triplet Censors: Demystifying Great Firewall’s DNS Censorship Behavior (PDF). 10th USENIX Workshop on Free and Open Communications on the Internet (FOCI 20). 2020-08-11. While other countries tend to use NXDOMAIN or reserved IP address space, China’s use of a range of public IP addresses owned by a variety of organizations is notable.

[gfw-4] 深入了解GFW：DNS污染. 2009-11-27 [2011-02-06]. （原始內容存檔於2020-12-14）.

[5] Constantin, Lucian. DNS hijacking flaw affects D-Link DSL router, possibly other devices. 27 January 2015 [June 21, 2017] （美國英語）.

[6] Rogue Domain Name System Servers. Trend Micro. [2007-12-15].

[7] 載警員個人資料「香港編年史」網站無法連線　消息：警方國安處首引用《港區國安法》封網. [2021-01-12]. （原始內容存檔於2021-01-15）.

[8] 警疑封編年史新IP 株連數百網站 IT人批損香港營商環境. [2021-01-12]. （原始內容存檔於2021-01-12）.

[1]

[註 1]

[2]

[3]

[4]

[5]

[6]

[7]