攻击与威胁
DNS 欺骗
别称: DNS 伪造
定义
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
DNS 欺骗篡改域名系统的解析过程,使对合法主机名的查询返回攻击者选定的 IP 地址。常见手法包括篡改 hosts 文件、拦截解析流量、利用脆弱的事务 ID,以及污染递归解析器缓存。受害者被重定向后,攻击者可窃取凭据、投递恶意软件,或使用伪造证书进行 TLS 中间人拦截。防御措施包括 DNSSEC 验证、加密传输(DoH/DoT)、随机化源端口与事务 ID、解析器加固以及对异常解析模式的监控。
示例
- 伪造响应将银行域名查询重定向到钓鱼页面。
- 开放 Wi-Fi 中的攻击者抢在合法解析器之前回应 DNS 查询。
相关术语
DNS 缓存投毒
向 DNS 递归解析器缓存中插入伪造记录的攻击,使其在 TTL 过期前持续返回攻击者指定的地址。
DNS 劫持
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
域名劫持式钓鱼 (Pharming)
通过篡改 DNS、hosts 文件或本地路由,将用户从合法网站静默重定向到恶意站点的攻击,且无需受害者点击任何链接。
中间人攻击 (MitM)
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。
DNSSEC
一组对 DNS 区域数据进行加密签名的扩展,使解析器能够验证 DNS 响应的真实性与完整性。
DNS over HTTPS(DoH)
通过加密 HTTPS 连接传输 DNS 查询和响应的协议,防止其在本地网络上被窃听或篡改。