近日，一(yī)個未修複的關鍵安全漏洞被披露，通過利用該漏洞可對物(wù)聯網類産品造成巨大(dà)的安全威脅。該漏洞最早于2021年9月被報告，影響了用于開(kāi)發嵌入式Linux系統的兩個流行的C庫——uClibc和uClibc-ng的域名DNS系統的正常使用，這可能會使數百萬物(wù)聯網設備面臨巨大(dà)的安全威脅。

網絡安全研究人員(yuán)表示，該漏洞可能允許攻擊者對目标設備實施DNS投毒攻擊。成功利用該漏洞可進行中(zhōng)間人 ( MitM ) 攻擊并破壞DNS緩存，從而将互聯網流量重定向到他們控制的惡意服務器上。如果将操作系統配置爲使用固定或可預測的源端口，則可以輕松利用該漏洞，竊取和操縱用戶傳輸的信息，并對這些設備進行其他攻擊。

什麽是DNS投毒？

DNS緩存投毒又(yòu)稱DNS欺騙，是一(yī)種通過查找并利用DNS系統中(zhōng)存在的漏洞，将流量從合法服務器引導至虛假服務器上的攻擊方式。與一(yī)般的釣魚攻擊采用非法URL不同的是，這種攻擊使用的是合法URL地址。

DNS投毒的工(gōng)作機制

在實際的DNS解析過程中(zhōng)，用戶請求某個網站，浏覽器首先會查找本機中(zhōng)的DNS緩存，如果DNS緩存中(zhōng)記錄了該網站和IP的映射關系，就會直接将結果返回給用戶，用戶對所得的IP地址發起訪問。如果緩存中(zhōng)沒有相關記錄，才會委托遞歸服務器發起遞歸查詢。

這種查詢機制，縮短了全球查詢的時間，可以讓用戶獲得更快的訪問體(tǐ)驗，但也存在一(yī)定的安全風險。如果攻擊者通過控制用戶的主機或者使用惡意軟件攻擊用戶的DNS緩存，就可以對DNS緩存中(zhōng)的域名映射關系進行篡改，将域名解析結果指向一(yī)個虛假IP。

在這種情況下(xià)，用戶再次對該網站發起請求時，通過DNS系統的解析會直接将虛假的映射關系返給用戶，将用戶引導至虛假站點之上，從而造成信息洩露，财産安全受到影響。

如何應對DNS投毒

（1）DNS服務器中(zhōng)Bind等軟件采用源端口随機性較好的較高版本。源端口的随機性可以有效降低攻擊成功的概率，增加攻擊難度。

（2）增加權威域名服務器的數量。據調查，國際和國内在權威域名服務器部署的數量方面近幾年均有所提升，但應進一(yī)步加強。

（3）在現有DNS協議框架基礎上，引入一(yī)些技巧性方法，增強DNS安全性。如在對DNS應答數據包的認證方面，除原查詢包發送IP地址、端口和随機查詢ID外(wài)，再增加其他可認證字段，增強認證機制。

（4）改進現有DNS協議框架，例如在DNS服務器上配置DNSSEC安全的機制，提升對應答數據包的弱認證方式以提高DNS安全性，或引入IPv6協議機制。

DNS在互聯網上應用廣泛，其安全性關系整個Internet的穩定。DNS緩存投毒作爲一(yī)種常見的DNS攻擊手段，具備危害性大(dà)、隐蔽性強等特點，如果與其他攻擊技術結合，其對于網絡安全的破壞性更強。因此，如何提升DNS安全防禦能力，有效應對DNS劫持、DNS投毒等攻擊手段，應成爲廣大(dà)政企網站關注的重點。