- 工信部备案号 蜀ICP备18011795号
- 全国增值电信业务经营许证 B1-20195344
- 安全联盟认证网站身份V标记
先提醒一下:域名污染这个词还有其他几个别名,分别是域名欺骗和域名缓存毒药(外文叫DNScachepoisoning)。以后看到这些别名,要知道是同一个意思。
域名污染是什么。
域名污染的原污染的原则是:当您的计算机向域名服务器发送域名查询请求时,域名服务器将响应发送给您的计算机,这之间存在时差。如果攻击者能在域名服务器的DNS响应到达您的计算机之前伪造一个错误的DNS响应并将其发送给您的计算机。然后你的计算机收到错误的信息和错误的IP地址。
谁有域名污染的企图?
从技术上讲,只要攻击者能位于你和域名服务器的传输线路中间,攻击者就有机会进行域名污染。能做到这一点的可能是黑客/黑客或ISP。
某国防火墙的两种域名污染
刚才我解释了域名污染的原则,不妨称之为直接污染。由于某国防火墙的特殊性,不仅可以实现直接污染,还可以实现间接污染。普通黑客最多只能实现直接污染,难以实现广泛间接污染。
那么这两种污染有什么区别呢?
国家防火墙部署在哪里?
首先,有必要盲目了解国家防火墙(实际上是一种IDS,即入侵检测系统)的部署位置。X国家互联网只有少数国际出口(著名的是:A出口、B出口、C出口)。如果你想访问外国网站,你的网络数据流肯定会通过其中一个国际出口。
国家防火墙的直接污染。
因为国家防火墙部署在国际出口处。如果您使用外国域名服务器,您的DNS请求将通过国际出口;同样,域名服务器的DNS响应也将通过国际出口到您的计算机。这为一个国家的防火墙提供了机会。
这种污染就是我所说的直接污染。
国家防火墙间接污染。
刚才介绍了使用外国域名服务器会被直接污染。如果你使用国内域名服务器?会被间接污染。流程如下:
1.例如,您使用运营商的DNS服务器,然后您想访问一个不受欢迎的网站。
2.对于不受欢迎的网站,其网站服务器必须在国外,网站的域名肯定不会使用CN以下的域名。因此,对于封锁网站,其上级域名的权威域名服务器也必须在国外。
3.当您查询某运营商的DNS服务器不受欢迎网站的域名时,某运营商的DNS服务器将找到与上一级域名对应的权威域名服务器进行域名查询。
4.由于域名查询是从国外进行的,相关数据流必须通过国际出口。一旦通过国际出口,家的防火墙污染。
5.因此,运营商的域名服务器获得了受污染的域名记录(IP错误)。运营商的域名服务器将在自己的域名缓存中保存错误的记录。
6.下次,如果另一位网友也会找到某运营商的域名服务来查询这个不受欢迎的网站,他也会发现错误的结果。
上述过程不断重复,最终导致:只要全国所有域名服务器的缓存包含不受欢迎的网站记录,记录中的IP地址必须是错误的(这个错误的IP地址是由国家防火墙伪造的)。因此,间接污染非常棒,它可以将错误的域名记录传播到全国各地。
正如我刚才所说,“域名污染”也叫“域名缓存投毒”。“投毒”一词真的非常形象——就好像在某条河流的源头下毒,从而把整条河流的水都污染。“域名污染”直接破坏了互联网的基础设施。