DNS 欺骗.

DNS 欺骗篡改域名系统的解析过程,使对合法主机名的查询返回攻击者选定的 IP 地址。常见手法包括篡改 hosts 文件、拦截解析流量、利用脆弱的事务 ID,以及污染递归解析器缓存。受害者被重定向后,攻击者可窃取凭据、投递恶意软件,或使用伪造证书进行 TLS 中间人拦截。

经典手法是 Dan Kaminsky 在 2008 年提出的缓存投毒攻击。由于早期解析器仅凭一个 16 位事务 ID 来验证应答,旁路攻击者可针对大量随机的、不存在的子域名向解析器灌入伪造响应,从而在与真正的权威服务器赛跑中胜出,并为整个域名注入一条被投毒的 NS 记录。修复方案在 RFC 5452 中得到标准化,引入了源端口随机化,把约 65000 次的猜测空间扩大到数十亿种组合。更强的防护来自 DNSSEC(RFC 4033–4035),它对记录进行加密签名,使解析器能够拒绝伪造应答;以及 DoH(RFC 8484)和 DoT(RFC 7858)等加密传输,可阻止共享 Wi-Fi 上的旁路篡改。

sequenceDiagram
  participant V as 受害者
  participant R as 解析器
  participant A as 攻击者
  participant N as 真实域名服务器
  V->>R: 查询 bank.example?
  R->>N: 递归查询
  A-->>R: 伪造应答 猜中 TXID 端口 指向攻击者 IP
  N-->>R: 真实应答 到达过晚
  R-->>V: 缓存被投毒的应答
  V->>A: 连接到攻击者 IP

防御措施包括 DNSSEC 验证、加密传输(DoH/DoT)、随机化源端口与事务 ID、解析器加固以及对异常解析模式的监控。