【51CTO.com快譯】隨著公眾對于網(wǎng)絡(luò)威脅意識的不斷增強，那些惡意軟件制作者不得不花更多的精力在如何欺騙人們在無意中透露自己的隱私數(shù)據(jù)。域名系統(tǒng)(DNS)緩存投毒，或稱DNS欺騙，就是一種通過劫持用戶的瀏覽請求，然后神不知鬼不覺地轉(zhuǎn)發(fā)到某個惡意站點的威脅手段。

[[259925]]

下面，讓我們一起來看看DNS緩存投毒的工作原理，以及我們該如何避免中招。

一、什么是DNS緩存?

1. URL和IP地址的工作原理

首先，我們來看看DNS緩存的概念。如果要訪問某個網(wǎng)站，您通常需要輸入其相應(yīng)的URL。例如，您在瀏覽器中輸入網(wǎng)站地址：www.mybanksaddress.com，以查詢自己的銀行賬戶。

不過，您的計算機可并不識別URL。作為機器，它只認識那些作為互聯(lián)網(wǎng)設(shè)備“家庭地址”的數(shù)字串，也就是它們的公網(wǎng)IP地址。相反，我們?nèi)祟悇t更容易記得含有網(wǎng)站名稱的URL，而不是IP地址。

2. DNS服務(wù)器的工作原理

因此，為了向您呈現(xiàn)目標網(wǎng)站的內(nèi)容，您的計算機必須將您輸入的URL轉(zhuǎn)換為它可以識別和采用的IP地址。為此，它會將收到的URL傳遞給所謂的DNS服務(wù)器。

DNS服務(wù)器就像一個巨大的網(wǎng)站電話簿。當(dāng)它接到由用戶計算機發(fā)送過來的URL請求時，就會在其數(shù)據(jù)庫中查找、并匹配相應(yīng)的IP地址。然后再回復(fù)給查詢計算機該IP地址。

籍此，您的計算機就能夠通過與www.mybanksaddress.com相對應(yīng)IP地址，來訪問到其網(wǎng)站的具體內(nèi)容了。

3. DNS緩存的工作原理

一般而言，各個網(wǎng)站所持有的IP地址不會輕易發(fā)生變化(當(dāng)然也不排除按需變化的可能性)，因此您的計算機可以將此類映射關(guān)系的信息存儲起來，以供日后使用。即，在DNS的緩存中記錄下URL：www.mybanksaddress.com與其IP地址的映射關(guān)系。

此后，當(dāng)您要再次訪問該銀行的網(wǎng)站時，您的計算機就不必再去“麻煩”DNS服務(wù)器了。它直接查看自己的緩存，并找到上次接收到的IP地址即可。可以說，DNS緩存在某種程度上，充當(dāng)了您之前訪問過的所有站點的一個微型電話簿。

二、DNS緩存如何被“投毒”的?

1. 黑客如何植入病毒

在計算機使用DNS緩存時，它不會去主動關(guān)注：自上次使用過以來，IP地址是否發(fā)生了變更。從某種程度上說，DNS緩存相當(dāng)于計算機的內(nèi)存，就算緩存中的值被修改了，計算機仍然會機械地去讀取既有的映射信息。

2. 緩存欺騙的工作原理

在虛假網(wǎng)站上線之后，他們就需要去威脅用戶的DNS緩存了。他們既可以通過惡意軟件來實現(xiàn)，也可以通過直接訪問目標用戶的計算機來達到目的。無論采用哪種方式，他們的目標都是：訪問DNS緩存，并找到www.mybanksaddress.com的存儲位置。一旦得手，他們就能夠?qū)y行的真實IP地址替換成他們設(shè)置好的那個虛假網(wǎng)站的地址。

可想而知，在遭受到緩存欺騙之后，如果您在自己的計算機上輸入URL：www.mybanksaddress.com時，您的計算機通過緩存所查找到的就是黑客植入的惡意IP地址，而且它會直接將您的瀏覽器重定向到那個虛假的網(wǎng)站上。

如果上述過程進展“順利”，您又沒有仔細地觀察自己所到達該虛假網(wǎng)站的話，那么您輸入的所有真實且詳細信息就會被該網(wǎng)站一覽無余，它甚至可以籍此來更改您的現(xiàn)有賬戶。

三、DNS服務(wù)器是否也易遭受威脅?

既然各種計算機都能夠通過與DNS服務(wù)器通信來獲取IP地址，那么黑客是否也會去給服務(wù)器投毒呢?答案是肯定的，而且后果可能很嚴重!

實際上，DNS服務(wù)器有著與用戶計算機類似的運作方式。如果它接到用戶請求有關(guān)IP地址的查詢，卻又不知道如何回復(fù)和引導(dǎo)用戶的話，它就會向另一個DNS服務(wù)器詢問答案。此時被詢問的服務(wù)器就會從自己的緩存中搜尋已存儲的信息。

因此，如果黑客能夠攻破某臺DNS服務(wù)器，那么他們就可以通過修改數(shù)據(jù)庫的記錄，將用戶重定向到任何虛假的網(wǎng)站上。顯然，一旦有另一臺DNS服務(wù)器來查詢并獲取IP地址，那么請求該服務(wù)的每一臺計算機都會悉數(shù)中招。

而且更糟糕的是：當(dāng)那些未持有某個虛假網(wǎng)站IP地址的服務(wù)器，向已中毒的服務(wù)器查詢映射記錄時，顯然它們收到的是一些“有毒”的答案。這會進而導(dǎo)致含有各種虛假信息的感染鏈，在各種DNS服務(wù)器之間持續(xù)傳播，一發(fā)不可收拾。

四、如何避免DNS中毒

DNS欺騙看似可怕，其實我們?nèi)杂修k法予以應(yīng)對。下面讓我們來看一些在上網(wǎng)時保持高度警惕的方法：

1. 保持您的防病毒軟件處于激活且更新的狀態(tài)

在充滿危機的互聯(lián)網(wǎng)上，我們要學(xué)會保護好自己。通常情況下，一款好的防病毒軟件足以阻止普通的DNS緩存投毒。當(dāng)然，如果您需要下載并安裝那些備受好評的防病毒軟件的話，對于自身系統(tǒng)的安全可謂是有百利而無一弊。

2. 不要下載可疑的文件

為了保護您的DNS緩存，請養(yǎng)成良好的上網(wǎng)瀏覽習(xí)慣。請勿隨便點擊網(wǎng)頁上任何可疑的文件、鏈接或橫幅廣告，它們往往正是威脅者通過文件包含(File Inclusion)或是命令注入(Command injection)等方式，安插進去的修改DNS緩存的一些惡意軟件腳本。

3. 使用可信的ISP或DNS服務(wù)器

上述保護好自己的方法只是安全防護的一個方面，那么我們該如何遠離已受到感染的DNS服務(wù)器呢?

一臺設(shè)置全面的DNS服務(wù)器不會輕易“相信”它從另一臺服務(wù)器收到的任何信息。它會去驗證每一條信息，直至確認安全無毒，方才接受。因此，通過使用此類服務(wù)器，您可以確定自己的計算機所獲得的查詢結(jié)果始終是合法的。

由于用戶的計算機通常會直接使用ISP所提供的DNS服務(wù)器。因此，使用信譽良好、且配備了全面安全措施的ISP，會讓人倍感放心。

當(dāng)然，如果您不放心ISP提供的默認DNS服務(wù)器的話，也可以自行改用其他可信的DNS服務(wù)器，以減少受威脅侵入的可能性。您可以通過鏈接：https://www.makeuseof.com/tag/switch-dns-servers-windows/，來了解如何在Windows中進行多個DNS服務(wù)器的切換。

4. 刷新DNS緩存

如果您懷疑自己的DNS緩存已經(jīng)中毒了的話，請毫不猶豫地通過刷新的方式，清除任何損壞的條目，并重新啟動服務(wù)。然后，請遵循上面第3點的建議，使用可信的DNS服務(wù)器，來重新填充緩存，以免讓自己二次中毒。

針對不同的操作系統(tǒng)，刷新DNS緩存的方式會有所不同。如果您正在使用Windows系統(tǒng)的話，請參見：https://www.makeuseof.com/tag/15-cmd-commands-every-windows-user-know/中所提及的刷新DNS緩存的命令。

5. 請復(fù)查訪問過的所有網(wǎng)站

雖然您的計算機會機械地認為：只要您輸入的網(wǎng)站URL沒錯的話，它訪問到的就是真實的IP地址。但是作為人類，我們應(yīng)該多一個心眼才是。

請您仔細檢查網(wǎng)頁的地址欄上是否有HTTPS加密，以及它的界面是否看起來可疑。一旦您發(fā)現(xiàn)自己可能訪問的是虛假網(wǎng)站，那么請不要輸入任何與登錄相關(guān)的信息，立即退出該網(wǎng)站，并執(zhí)行病毒掃描和DNS緩存刷新。

6. 重新啟動路由器以清除其DNS緩存

我們常用的路由器也可能帶有自己的DNS緩存功能。可是不幸的是，它們和上面提到的用戶計算機、以及DNS服務(wù)器一樣，容易受到DNS投毒。因此，請定期重啟您的路由器，此舉將有利于清除它已有的DNS緩存，并重新獲取新的映射記錄。

五、總結(jié)

綜上所述，DNS服務(wù)器是一把雙刃劍。它既是加速上網(wǎng)體驗的利器，卻又容易受到投毒與欺騙，甚至?xí)斐蓢乐氐暮蠊ＯＭ疚牡纳鲜龇治雠c建議，能夠讓您遠離DNS緩存欺騙的傷害。如果您有興趣了解如何設(shè)置安全的DNS服務(wù)器，請參考鏈接：https://www.makeuseof.com/tag/best-dns-providers-security/

原文標題：What Is DNS Cache Poisoning? How DNS Spoofing Can Hijack You，作者：Simon Batt

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】