近來，網絡上出現互聯網漏洞——DNS緩存漏洞，此漏洞直指我(wǒ)(wǒ)們應用中(zhōng)互聯網脆弱的安全系統，而安全性差的根源在于設計缺陷。利用該漏洞輕則可以讓用戶無法打開(kāi)網頁，重則是網絡釣魚和金融詐騙，給受害者造成巨大(dà)損失。

DNS緩存中(zhōng)毒也稱爲DNS欺騙，是一(yī)種攻擊，旨在查找并利用DNS或域名系統中(zhōng)存在的漏洞，以便将有機流量從合法服務器吸引到虛假服務器上。這種攻擊往往被歸類爲域欺騙攻擊（pharming attack），由此它會導緻出現很多嚴重問題。首先，用戶往往會以爲登陸的是自己熟悉的網站，而它們卻并不是。與釣魚攻擊采用非法URL不同的是，這種攻擊使用的是合法的URL地址。

DNS緩存中(zhōng)毒如何工(gōng)作？

當一(yī)個DNS緩存服務器從用戶處獲得域名請求時，服務器會在緩存中(zhōng)尋找是否有這個地址。如果沒有，它就會上級DNS服務器發出請求。在出現這種漏洞之前，攻擊者很難攻擊DNS服務器：他們必須通過發送僞造查詢響應、獲得正确的查詢參數以進入緩存服務器，進而控制合法DNS服務器。這個過程通常持續不到一(yī)秒鍾，因此黑客攻擊很難獲得成功。

但是，現在有安全人員(yuán)找到該漏洞，使得這一(yī)過程朝向有利于攻擊者轉變。這是因爲攻擊者獲悉，對緩存服務器進行持續不斷的查詢請求，服務器不能給與回應。比如，一(yī)個黑客可能會發出類似請求：1q2w3e.name .com，而且他也知(zhī)道緩存服務器中(zhōng)不可能有這個域名。這就會引起緩存服務器發出更多查詢請求，并且會出現很多欺騙應答的機會。

當然，這并不是說攻擊者擁有很多機會來猜測查詢參數的正确值。事實上，是這種開(kāi)放(fàng)源DNS服務器漏洞的公布，會讓它在10秒鍾内受到危險攻擊。要知(zhī)道，即使1q2w3e. name .com受到緩存DNS中(zhōng)毒攻擊危害也不大(dà)，因爲沒有人會發出這樣的域名請求，但是，這正是攻擊者發揮威力的地方所在。通過欺騙應答，黑客也可以給緩存服務器指向一(yī)個非法的服務器域名地址，該地址一(yī)般爲黑客所控制。而且通常來說，這兩方面的信息緩存服務器都會存儲。

由于攻擊者現在可以控制域名服務器，每個查詢請求都會被重定向到黑客指定的服務器上。這也就意味着，黑客可以控制所有域名下(xià)的子域網址等等。這非常強大(dà)，任何涉及到子域網址的查詢，都可以引導至由黑客指定的任何服務器上。

DNS緩存中(zhōng)毒有何風險？

DNS緩存中(zhōng)毒的主要風險是竊取數據。DNS緩存中(zhōng)毒攻擊的最喜歡的目标是醫院，金融機構網站和在線零售商(shāng)。這些目标容易被欺騙，這意味着任何密碼，信用卡或其他個人信息都可能受到損害。此外(wài)，在用戶設備上安裝密鑰記錄器的風險，可能會導緻用戶訪問其他站點時暴露其用戶名和密碼。

另一(yī)個重大(dà)風險是，如果互聯網安全提供商(shāng)的網站被欺騙，那麽用戶的計算機可能會受到其他威脅（如：病毒或特洛伊木馬）的影響，因爲一(yī)旦被攻擊用戶則不會執行合法的安全更新。

據稱，DNS攻擊的年平均成本爲223.6萬美元，其中(zhōng)23%的攻擊來自DNS緩存中(zhōng)毒。

如何防止DNS緩存中(zhōng)毒

那麽，企業究竟該如何防止DNS緩存中(zhōng)毒攻擊？要從以下(xià)幾點出發：

第一(yī)，DNS服務器應該配置爲盡可能少地依賴與其他DNS服務器的信任關系。以這種方式配置将使攻擊者更難以使用他們自己的DNS服務器來破壞目标服務器。

第二，企業應該設置DNS服務器，隻允許所需的服務運行。因爲在DNS服務器上運行不需要的其他服務，隻會增加攻擊向量大(dà)小(xiǎo)。

第三，安全人員(yuán)還應确保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口随機化等功能，可以幫助防止緩存中(zhōng)毒攻擊。

第四，用戶的安全教育對于防止這些攻擊也非常重要。用戶應接受有關識别可疑網站的培訓，用戶要學會隻訪問HTTPS網站，這有助于防止人們成爲中(zhōng)毒攻擊的受害者，因爲他們會确保不将他們的個人信息輸入黑客的網站。如果他們在連接到網站之前收到SSL警告，則不會單擊“忽略”按鈕。 這樣就不會受到DNS緩存中(zhōng)毒攻擊。

結論

HTTPS是現行架構下(xià)最安全的解決方案，SSL證書(shū)可以很直觀的辨别出釣魚網站，避免網站受到DNS緩存中(zhōng)毒攻擊，保護信息安全。部署SSL證書(shū)一(yī)定要選擇一(yī)個具有公信力的CA機構，選擇CA機構最好是通過國際Webtrust标準的認證，具備了國際電(diàn)子認證服務能力的CA機構，通過國際Webtrust标準的認證意味着CA機構的運營管理和服務水平符合國際标準，并且有能力、有資(zī)質提供全球化認證服務，是可靠電(diàn)子認證服務的有效證明。