防不胜防了解DNS缓存中毒攻击原理

最近网络上出现了一个很大的互联网漏洞，DNS缓存漏洞。这个漏洞直指我们应用中脆弱的互联网安全体系，安全性差的根源在于设计缺陷。该漏洞可以阻止用户打开网页，或者进行网络钓鱼和金融诈骗，给受害者造成巨大损失。
缓存中毒攻击者将非法网络域名地址注入DNS服务器。如果服务器接受了这个非法地址，就说明其缓存受到了攻击，以后的域名请求都会被黑客控制。当这些非法地址进入服务器缓存时，用户的浏览器或邮件服务器会自动跳转到DNS指定的地址。
这种攻击通常被归类为域欺骗攻击，这会导致许多严重的问题。首先，用户往往以为自己是在登陆自己熟悉的网站，其实不然。与使用非法URL的网络钓鱼攻击不同，这种攻击使用合法的URL地址。
另一个问题是，数百个用户会被服务器用缓存中毒攻击重定向，被定向到黑客设置的陷阱站点。这个问题的严重程度将与使用域名请求的用户数量有关。在这样的情况下，即使是技术不丰富的黑客也能造成很大的麻烦，让用户糊里糊涂地把自己的网银账号密码和网游账号密码告诉别人。
用这种类似的方法，邮件系统也会被黑。只要把非法地址给邮件服务器而不是Web服务器，这样系统就可以引导到受控的邮件服务器。
那么，黑客是如何让缓存服务器接受非法地址的呢？当DNS缓存服务器收到用户的域名请求时，服务器将在缓存中查找该地址。如果没有，它将向上级DNS服务器发出请求。
在这种漏洞之前，攻击者很难攻击DNS服务器:他们必须通过发送虚假的查询响应来控制合法的DNS服务器，并获得正确的查询参数来进入缓存服务器。这个过程通常持续不到一秒钟，黑客很难得逞。
然而现在安全人员发现了这个漏洞，使得这个过程转而有利于攻击者。这是因为攻击者了解到缓存服务器无法响应持久查询请求。例如，黑客可能会提出类似的请求:1q2w3e.google.com，他也知道这个域名不能存在于缓存服务器中。这将导致缓存服务器发出更多的查询请求，并且有很多机会欺骗响应。
当然，这并不意味着攻击者有很多机会猜测查询参数的正确值。事实上，正是这一开源DNS服务器漏洞的公布，将使其在10秒内容易受到危险的攻击。
要知道，即使1q2w3e.google.com被缓存DNS中毒攻击，也是没有危害的，因为没有人会提出这样的域名请求，但这正是攻击者发力的地方。通过欺骗响应，黑客还可以为缓存服务器指向非法的服务器域地址，缓存服务器一般由黑客控制。而且一般来说，这两方面的信息缓存服务器都会存储。
由于攻击者现在可以控制域名服务器，所以每个查询请求都会被重定向到黑客指定的服务器。这意味着黑客可以控制域名下的所有子域网址:www.bigbank.com，mail.bigbank.com，ftp.bigbank.com等。这是非常强大的，任何涉及子域URL的查询都可以被定向到黑客指定的任何服务器。
怎么处理？
为了解决这些问题，用于查询的UDP端口不应该再是默认的53，而应该在UDP端口范围内随机选择(不包括预留端口
然而，很多企业发现他们的DNS服务器远远落后于各种提供网络地址转换(NAT)的设备。大部分NAT设备会随机选择NDS服务器使用的UDP端口，导致新的安全补丁失效。IT经理不会在防火墙中开放全方位的UDP端口。更有甚者，有安全研究人员证明，即使提供随机选择的64000UDP端口的保护，DNS服务器仍然可能中毒。
现在是时候考虑保护DNS的其他方案了。UDP源端口的随机化选择是一种有用的保护措施，但它会打破UDP源端口随机化给予DNS服务器的保护、全方位开放端口的风险或防火墙性能降低之间的平衡。另一个有效的保护措施是当检测到潜在的攻击风险时，将DNS服务器切换到TCP连接。
如果攻击者猜到了欺骗查询响应的必要参数，那么就需要额外的防御措施。这意味着DNS服务器需要更加智能，能够准确分析每个查询响应，从而从攻击者发送的非法响应中剔除有害信息。