# DNS: 检测到缓存投毒，来自 192.0.2.1 的 example.com 响应与预期源不匹配

- **ID:** `networking/dns-cache-poisoning`
- **领域:** networking
- **类别:** security_error
- **验证级别:** ai_generated
- **修复率:** 85%

## 根因

DNS 缓存投毒发生在恶意行为者向解析器缓存注入伪造的 DNS 记录时，导致客户端被重定向到欺诈服务器。

## 版本兼容性

| 版本 | 状态 | 引入 | 弃用 |
|------|------|------|------|
| BIND 9.16+ | active | — | — |
| Unbound 1.17+ | active | — | — |
| dnsmasq 2.89+ | active | — | — |

## 解决方案

1. ```
   Enable DNSSEC validation on the resolver: In BIND, add 'dnssec-validation auto;' to named.conf. In Unbound, set 'auto-trust-anchor-file: /var/lib/unbound/root.key'.
   ```
2. ```
   Flush the resolver cache and restart the DNS service: rndc flush && systemctl restart named
   ```
3. ```
   Implement source port randomization in the resolver to make poisoning harder: In BIND, set 'query-source address * port *;' in options.
   ```

## 无效尝试

- **** — 仅刷新 DNS 缓存（例如 ipconfig /flushdns）会移除被投毒的条目，但如果解析器仍然存在漏洞，则无法防止再次投毒。 (90% 失败率)
- **** — 更换到不同的公共 DNS 解析器（例如 8.8.8.8）可能绕过被投毒的缓存，但无法解决网络路径上的根本攻击。 (70% 失败率)
- **** — 禁用 DNSSEC 验证会降低安全性，并允许在不验证的情况下接受伪造响应。 (95% 失败率)