DNS快取中毒是怎麼回事？

近來，網路上出現網際網路漏洞——DNS快取漏洞，此漏洞直指我們應用中網際網路脆弱的安全系統，而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁，重則是網路釣魚和金融詐騙，給受害者造成巨大損失。
DNS快取中毒也稱為DNS欺騙，是一種攻擊，旨在查詢並利用DNS或域名系統中存在的漏洞，以便將有機流量從合法伺服器吸引到虛假伺服器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack)，由此它會導致出現很多嚴重問題。首先，使用者往往會以為登陸的是自己熟悉的網站，而它們卻並不是。與釣魚攻擊採用非法URL不同的是，這種攻擊使用的是合法的URL地址。

當一個DNS快取伺服器從使用者處獲得域名請求時，伺服器會在快取中尋找是否有這個地址。如果沒有，它就會上級DNS伺服器發出請求。
在出現這種漏洞之前，攻擊者很難攻擊DNS伺服器：他們必須透過傳送偽造查詢響應、獲得正確的查詢引數以進入快取伺服器，進而控制合法DNS伺服器。這個過程通常持續不到一秒鐘，因此駭客攻擊很難獲得成功。
但是，現在有安全人員找到該漏洞，使得這一過程朝向有利於攻擊者轉變。這是因為攻擊者獲悉，對快取伺服器進行持續不斷的查詢請求，伺服器不能給與回應。比如，一個駭客可能會發出類似請求：1q2w3e.google.com，而且他也知道快取伺服器中不可能有這個域名。這就會引起快取伺服器發出更多查詢請求，並且會出現很多欺騙應答的機會。
當然，這並不是說攻擊者擁有很多機會來猜測查詢引數的正確值。事實上，是這種開放源DNS伺服器漏洞的公佈，會讓它在10秒鐘內受到危險攻擊。
要知道，即使1q2w3e.google.com受到快取DNS中毒攻擊危害也不大，因為沒有人會發出這樣的域名請求，但是，這正是攻擊者發揮威力的地方所在。透過欺騙應答，駭客也可以給快取伺服器指向一個非法的伺服器域名地址，該地址一般為駭客所控制。而且通常來說，這兩方面的資訊快取伺服器都會儲存。
由於攻擊者現在可以控制域名伺服器，每個查詢請求都會被重定向到駭客指定的伺服器上。這也就意味著，駭客可以控制所有域名下的子域網址：，mail.bigbank.com，ftp.bigbank.com等等。這非常強大，任何涉及到子域網址的查詢，都可以引導至由駭客指定的任何伺服器上。

DNS快取中毒的主要風險是竊取資料。DNS快取中毒攻擊的最喜歡的目標是醫院，金融機構網站和線上零售商。這些目標容易被欺騙，這意味著任何密碼，信用卡或其他個人資訊都可能受到損害。此外，在使用者裝置上安裝金鑰記錄器的風險，可能會導致使用者訪問其他站點時暴露其使用者名稱和密碼。
另一個重大風險是，如果網際網路安全提供商的網站被欺騙，那麼使用者的計算機可能會受到其他威脅(如：病毒或特洛伊木馬)的影響，因為一旦被攻擊使用者則不會執行合法的安全更新。
據稱，DNS攻擊的年平均成本為223.6萬美元，其中23%的攻擊來自DNS快取中毒。

那麼，企業究竟該如何防止DNS快取中毒攻擊?要從以下幾點出發：
第一，DNS伺服器應該配置為儘可能少地依賴與其他DNS伺服器的信任關係。以這種方式配置將使攻擊者更難以使用他們自己的DNS伺服器來破壞目標伺服器。
第二，企業應該設定DNS伺服器，只允許所需的服務執行。因為在DNS伺服器上執行不需要的其他服務，只會增加攻擊向量大小。
第三，安全人員還應確保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和埠隨機化等功能，可以幫助防止快取中毒攻擊。
第四，使用者的安全教育對於防止這些攻擊也非常重要。使用者應接受有關識別可疑網站的培訓，使用者要學會只訪問HTTPS網站，這有助於防止人們成為中毒攻擊的受害者，因為他們會確保不將他們的個人資訊輸入駭客的網站。如果他們在連線到網站之前收到SSL警告，則不會單擊“忽略”按鈕。 這樣就不會受到DNS快取中毒攻擊。

HTTPS是現行架構下最安全的解決方案，SSL證照可以很直觀的辨別出釣魚網站，避免網站受到DNS快取中毒攻擊，保護資訊保安。部署SSL證照一定要選擇一個具有公信力的CA機構，選擇CA機構最好是透過國際Webtrust標準的認證，具備了國際電子認證服務能力的CA機構，透過國際Webtrust標準的認證意味著CA機構的運營管理和服務水平符合國際標準，並且有能力、有資質提供全球化認證服務，是可靠電子認證服務的有效證明。