网络攻击及防范之欺骗攻击之DNS欺骗

3) DNS欺骗

域名系统( Domain Name System，DNS)是互联网中大量使用的基础服务。TCP/IP协议使用网络层地址（IP地址）定位一台主机，而IP地址对于用户是难以记忆的，因此用户经常采用www.cisp.org.cn这样的域名访问主机，DNS的作用就是为用户提供域名与IP地址自勺解析。域名是一个分布的数据库系统，不同的域名分布在全球不同的域名服务器上。在实际应用中，DNS服务器对于自身无法解析的域名，会向其他DNS服务器查询，并且为了提高效率，域名服务器会对已经查询的结果进行缓存。攻击者利用以上特点，通过伪造DNS应答在目标DNS服务器上生成错误的缓存数据，从而欺骗用户访问错误的服务器。这种攻击就是DNS欺骗，也称为DNS高速缓存污染。DNS欺骗的实现过程如下：

攻击者向DNS服务器发送域名查询请求，如果DNS服务器中无此域名的缓存信息，就会向其他DNS服务器进行查询，此时攻击者立即向DNS服务器发送伪造的DNS应答报文，告诉DNS艮务器WWW.Cisp.org.cn的IP地址为11.11.11.11，如果这个应答报文被接受，DNS服务器会将此应答报文的数据存人缓存中。攻击者就成功的生成了一条错误的DNS记录。当其他客户机再向该DNS服务器查询www.clsp.org.cn域名对应的IP地址时，DNS服-器会将缓存中的记录WWW.C-1。p.o，g.cn<->ll.ll.ll.ll返回给查询的客户机，从而将客户机导向错误的主机。

由于DNS缓存存在时间限制，DNS欺骗存在实效性，一旦超过缓存的有效时间，除非重新构造缓存中的记录，否则DNS欺骗会自动失效。此外，与ARP欺骗不同，攻击者不台旨替换缓存中已经存在的记录。

解决DNS欺骗最有效的方法是采用最新版本的DNS服务软件，新版本的软件在抵御DNS 欺骗方面更优于老版本软件，也可以通过配置系统，如限制域名服务器做出响应的地址、限制发出查询请求的客户机地址等，降低攻击者DNS欺骗成功的几率。