networking
security_error
ai_generated
partial
DNS: 检测到缓存投毒,来自 192.0.2.1 的 example.com 响应与预期源不匹配
DNS: Cache poisoning detected, response from 192.0.2.1 for example.com does not match expected source
ID: networking/dns-cache-poisoning
85%修复率
85%置信度
1证据数
2024-06-10首次发现
版本兼容性
| 版本 | 状态 | 引入 | 弃用 | 备注 |
|---|---|---|---|---|
| BIND 9.16+ | active | — | — | — |
| Unbound 1.17+ | active | — | — | — |
| dnsmasq 2.89+ | active | — | — | — |
根因分析
DNS 缓存投毒发生在恶意行为者向解析器缓存注入伪造的 DNS 记录时,导致客户端被重定向到欺诈服务器。
English
DNS cache poisoning occurs when a malicious actor injects forged DNS records into a resolver's cache, causing clients to be redirected to fraudulent servers.
官方文档
https://www.icann.org/resources/pages/dnssec-2012-02-25-en解决方案
-
Enable DNSSEC validation on the resolver: In BIND, add 'dnssec-validation auto;' to named.conf. In Unbound, set 'auto-trust-anchor-file: /var/lib/unbound/root.key'.
-
Flush the resolver cache and restart the DNS service: rndc flush && systemctl restart named
-
Implement source port randomization in the resolver to make poisoning harder: In BIND, set 'query-source address * port *;' in options.
无效尝试
常见但无效的做法:
-
90% 失败
仅刷新 DNS 缓存(例如 ipconfig /flushdns)会移除被投毒的条目,但如果解析器仍然存在漏洞,则无法防止再次投毒。
-
70% 失败
更换到不同的公共 DNS 解析器(例如 8.8.8.8)可能绕过被投毒的缓存,但无法解决网络路径上的根本攻击。
-
95% 失败
禁用 DNSSEC 验证会降低安全性,并允许在不验证的情况下接受伪造响应。