網站總被劫持？關於DNS快取中毒你究竟瞭解多少

近些年來，多種多樣的攻擊方式讓站長們防不勝防，很是苦惱，其中較為典型的就是DNS快取中毒，此類攻擊利用DNS快取漏洞來影響使用者正常訪問網站，嚴重的透過站長網站來實施非法釣魚和金融詐騙，從而給站長和使用者造成巨大的經濟損失。

什麼是DNS快取？

DNS是IP地址和域名的全球目錄。DNS快取是將這些地址儲存在世界各地的DNS伺服器中的系統。為了保持您的DNS請求快速，原始開發人員建立了一個分散式DNS系統，每個伺服器都儲存一個它知道的DNS記錄列表–這稱為快取。

什麼是DNS快取中毒，它是如何實現的？

DNS快取中毒是一種網路攻擊，它使您的計算機誤以為它會到達正確的地址，但事實並非如此。攻擊者使用DNS快取中毒來劫持網際網路流量並竊取使用者憑據或個人資料，DNS快取中毒攻擊也稱為DNS欺騙，它試圖誘騙使用者將其私人資料輸入不安全的網站。這種攻擊往往被歸類為域欺騙攻擊由此它會導致出現很多嚴重問題。首先，使用者往往會以為登陸的是自己熟悉的網站，而它們卻並不是。與釣魚攻擊採用非法URL不同的是，這種攻擊使用的是合法的URL地址。 

另外一個問題是，成百上千的使用者會被植入快取中毒攻擊的伺服器重定向，引導至駭客設立的圈套站點上。這種問題的嚴重性，會與使用域名請求的使用者多少相關。在這樣的情況下，即使小白新手也可以造成很大的麻煩，讓使用者不知不覺的就陷入了攻擊者的圈套中，生活中的例子比比皆是，就如自己平時網購時，看似賣家發的連結不經相同，但是往往就是這個不經意間，自己就落入了別人的圈套中。

如何檢測和應對DNS快取中毒呢？

如何檢測DNS快取中毒攻擊?監視DNS伺服器以獲取可能的攻擊指示，將資料安全分析應用於您的DNS監視，以識別正常的DNS行為免受攻擊。
1.來自單個來源的有關單個域的DNS活動突然增加表示潛在的Birthday Attack。
2.從單一來源查詢DNS伺服器以獲取多個域名而不進行遞迴的DNS活動的增加表示嘗試查詢用於中毒的條目。
3.除了監視DNS之外，還監視Active Directory事件和檔案系統行為是否存在異常活動。甚至更好的是，使用分析來關聯所有三個媒介之間的活動，從而為您的網路安全策略新增有價值的環境。

關於應對
當存在DNS快取中毒時，預設用於查詢的UDP埠不應該再是預設的53埠了，而是應該在UDP埠範圍內隨機選擇(排除預留埠)。但是有些站長會發現目前使用的DNS伺服器遠落後於提供網路地址轉換的各種裝置，大部分NAT裝置會隨機選擇NDS伺服器使用的UDP埠，這樣一來就會使得新的安全補丁會失效，網站會重蹈覆轍。

遇到這種情況，站長們就需要考慮保護DNS的其他方案了。UDP源埠隨機化選擇是一種比較有用的防護舉措，但是這會打破UDP源埠隨機化給與DNS伺服器的保護，同由此全方位開放埠面臨的風險或者降低防火牆效能這兩者間的平衡關係。還有一種比較有效的防護措施就是，當檢測到面臨潛在攻擊風險時，讓DNS伺服器切換到使用TCP連線，來應對DNS快取中毒的狀況。

網際網路中伺服器和網站遭受攻擊的例子比比皆是，各類的攻擊方式也是層出不窮，想要避免發生這類情況還需要在日常維護中多下功夫，經常排查和備份，防患於未然。