近日，一个未修复的关键安全漏洞被披露，利用该漏洞可对物联网类产品造成巨大的安全威胁。该漏洞最早于2021年9月被报告，影响了用于开发嵌入式Linux系统的两个流行的C库——uClibc和uClibc-ng的域名DNS系统的正常使用，这可能会使数百万物联网设备面临巨大的安全威胁。

网络安全研究人员表示，该漏洞可能允许攻击者对目标设备实施DNS投毒攻击。成功利用该漏洞可进行中间人 ( MitM ) 攻击并破坏DNS缓存，从而将互联网流量重定向到他们控制的恶意服务器上。如果将操作系统配置为使用固定或可预测的源端口，则可以轻松利用该漏洞，窃取和操纵用户传输的信息，并对这些设备进行其他攻击。

什么是DNS投毒？

DNS缓存投毒又称DNS欺骗，是一种通过查找并利用DNS系统中存在的漏洞，将流量从合法服务器引导至虚假服务器上的攻击方式。与一般的钓鱼攻击采用非法URL不同的是，这种攻击使用的是合法URL地址。

DNS投毒的工作机制

在实际的DNS解析过程中，用户请求某个网站，浏览器首先会查找本机中的DNS缓存，如果DNS缓存中记录了该网站和IP的映射关系，就会直接将结果返回给用户，用户对所得的IP地址发起访问。如果缓存中没有相关记录，才会委托递归服务器发起递归查询。

这种查询机制，缩短了全球查询的时间，可以让用户获得更快的访问体验，但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存，就可以对DNS缓存中的域名映射关系进行篡改，将域名解析结果指向一个虚假IP。

在这种情况下，用户再次对该网站发起请求时，通过DNS系统的解析会直接将虚假的映射关系返给用户，将用户引导至虚假站点之上，从而造成信息泄露，财产安全受到影响。

如何应对DNS投毒？

（1）DNS服务器中Bind等软件采用源端口随机性较好的较高版本。源端口的随机性可以有效降低攻击成功的概率，增加攻击难度。

（2）增加权威域名服务器的数量。据调查，国际和国内在权威域名服务器部署的数量方面近几年均有所提升，但应进一步加强。

（3）在现有DNS协议框架基础上，引入一些技巧性方法，增强DNS安全性。如在对DNS应答数据包的认证方面，除原查询包发送IP地址、端口和随机查询ID外，再增加其他可认证字段，增强认证机制。

（4）改进现有DNS协议框架，例如在DNS服务器上配置DNSSEC安全的机制，提升对应答数据包的弱认证方式以提高DNS安全性，或引入IPv6协议机制。

（5）采用DNS智能云解析技术。国科云云解析系统配备10万+加速节点覆盖全国所有省份和运营商，主动向全国公共DNS推送域名记录，支持最低1秒的TTL值，可大幅提升域名解析的准确性和稳定性，降低公共DNS的递归时间，提升网站的解析速度，有效避免DNS劫持、DNS投毒造成的损失。

DNS在互联网上应用广泛，其安全性关系整个Internet的稳定。DNS缓存投毒作为一种常见的DNS攻击手段，具备危害性大、隐蔽性强等特点，如果与其他攻击技术结合，其对于网络安全的破坏性更强。因此，如何提升DNS安全防御能力，有效应对DNS劫持、DNS投毒等攻击手段，应成为广大政企网站关注的重点。

相关推荐：

什么是DNS缓存投毒？有哪些危害？