近日，一個未修復的關鍵安全漏洞被披露，通過利用該漏洞可對物聯網類產品造成巨大的安全威脅。該漏洞最早於2021年9月被報告，影響了用於開發嵌入式Linux系統的兩個流行的C庫——uClibc和uClibc-ng的域名DNS系統的正常使用，這可能會使數百萬物聯網裝置面臨巨大的安全威脅。

網路安全研究人員表示，該漏洞可能允許攻擊者對目標裝置實施DNS投毒攻擊。成功利用該漏洞可進行中間人 ( MitM ) 攻擊並破壞DNS快取，從而將網際網路流量重定向到他們控制的惡意伺服器上。如果將作業系統配置為使用固定或可預測的源埠，則可以輕鬆利用該漏洞，竊取和操縱使用者傳輸的資訊，並對這些裝置進行其他攻擊。

什麼是DNS投毒？

DNS快取投毒又稱DNS欺騙，是一種通過查詢並利用DNS系統中存在的漏洞，將流量從合法伺服器引導至虛假伺服器上的攻擊方式。與一般的釣魚攻擊採用非法URL不同的是，這種攻擊使用的是合法URL地址。

DNS投毒的工作機制

在實際的DNS解析過程中，使用者請求某個網站，瀏覽器首先會查詢本機中的DNS快取，如果DNS快取中記錄了該網站和IP的對映關係，就會直接將結果返回給使用者，使用者對所得的IP地址發起訪問。如果快取中沒有相關記錄，才會委託遞迴伺服器發起遞迴查詢。

這種查詢機制，縮短了全球查詢的時間，可以讓使用者獲得更快的訪問體驗，但也存在一定的安全風險。如果攻擊者通過控制使用者的主機或者使用惡意軟體攻擊使用者的DNS快取，就可以對DNS快取中的域名對映關係進行篡改，將域名解析結果指向一個虛假IP。

在這種情況下，使用者再次對該網站發起請求時，通過DNS系統的解析會直接將虛假的對映關係返給使用者，將使用者引導至虛假站點之上，從而造成資訊洩露，財產安全受到影響。

如何應對DNS投毒

（1）DNS伺服器中Bind等軟體採用源埠隨機性較好的較高版本。源埠的隨機性可以有效降低攻擊成功的概率，增加攻擊難度。

（2）增加權威域名伺服器的數量。據調查，國際和國內在權威域名伺服器部署的數量方面近幾年均有所提升，但應進一步加強。

（3）在現有DNS協議框架基礎上，引入一些技巧性方法，增強DNS安全性。如在對DNS應答資料包的認證方面，除原查詢包傳送IP地址、埠和隨機查詢ID外，再增加其他可認證欄位，增強認證機制。

（4）改進現有DNS協議框架，例如在DNS伺服器上配置DNSSEC安全的機制，提升對應答資料包的弱認證方式以提高DNS安全性，或引入IPv6協議機制。

（5）採用DNS智慧雲解析技術。中科三方雲解析系統配備10萬+加速節點覆蓋全國所有省份和運營商，主動向全國公共DNS推送域名記錄，支援最低1秒的TTL值，可大幅提升域名解析的準確性和穩定性，降低公共DNS的遞迴時間，提升網站的解析速度，有效避免DNS劫持、DNS投毒造成的損失。

DNS在網際網路上應用廣泛，其安全性關係整個Internet的穩定。DNS快取投毒作為一種常見的DNS攻擊手段，具備危害性大、隱蔽性強等特點，如果與其他攻擊技術結合，其對於網路安全的破壞性更強。因此，如何提升DNS安全防禦能力，有效應對DNS劫持、DNS投毒等攻擊手段，應成為廣大政企網站關注的重點。