详解DNS缓存投毒攻击 (dns缓冲区)

dns缓存投毒攻击是指攻击者欺骗DNS 服务器 相信伪造的DNS响应的真实性。这种类型攻击的目的是将依赖于此DNS服务器的受害者重定向到其他的地址，例如，将所有访问www.cnn.com的请求重定向到www.playboy.com。这种类型的攻击的已存在的典型应用是钓鱼方式的攻击，将一个想到银行的访问重定向到黑客所有的伪造网站。

一个DNS SRV记录帮助SIP电话进行拨号，就像MX记录帮助将E-mail地址映射为正确的邮件服务器。一些场合开始应用DNS SRV记录来将特定SIP请求转发到特定的代理服务器，特别是在公司外的服务器。这样的方式蕴涵着特别的危险，如果攻击者能够篡改这些资料列表，来将所有到一个区域的呼叫重定向到他所控制的外部代理服务器。

一个简单的DNS缓存投毒攻击如下所示，引用自DNS审计工具DNSA的文档，详见：

DNS缓存投毒对策

DNS缓存投毒几乎可以完全避免（实际上并非如此–译者注），前提是对DNS服务器进行了合理的配置。这包括强制服务器检查其他非权威的服务器转发的DNS响应信息，并丢弃任何返回的与最初的查询不相关DNS响应记录。许多最新的DNS服务器在默认配置下已经不再受此类攻击影响。

【编辑推荐】

怎么判断 linux dns劫持

在您遇到这一问题的时候，能够正常解析域名吗？另外，您提到这一问题有一定的随机性，请多测试几个域名（包括内部的和公共的），观察问题在什么情况下最容易出现。 也请检查以下设置：1. 右键点击我的电脑，点击属性2. 点击计算机名3. 点击其他4. 检查“此计算机的主DNS后缀”设置，默认情况下这一设置应该是您的域名（比如）5. 打开网络链接6. 右键点击网络链接并点击属性7. 双击TCP/IP8. 点击高级，并点击DNS属性页9. 检查“附加主要的连接特定的DNS后缀”选项，默认“附加主DNS后缀的父后缀”是被选中的10.检查此连接的DNS后缀内是否设置了内容，默认为空。 判断的方法1.开始-运行-cmd-输入nslookup,之后可以看见DNS服务器地址2.输入站点名称，如果能够解析的话，能看到其IP地址，如果被劫持则出现dns request time out....信息...修复：由于DNS被强制修改，kaspersky不能访问，可以尝试其它厂商的在线杀毒。 另：有的时候可以在浏览器中直接输入IP地址，而不是域名。 请尝试！

要看的网站怎么打不开？

要看的网站打不开可能是因为网络设置的问题 、DNS服务器的问题 、IE浏览器本身的问题 、网络防火墙的问题 、网络协议和网卡驱动的问题等等。

要看的网站打不开的原因如下：

一、网络设置的问题：这种原因比较多出现于需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。 可仔细检查计算机的网络设置。

二、DNS服务器的问题：当IE无法浏览网站时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题，这时你可以手动指定DNS服务（地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用DNS服务器地址。 在网络的属性里进行（控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址）。 不同的ISP有不同的DNS地址。 有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接，这种情况的话，可把路由器关一会再开，或者重新设置路由器。 还有一种可能，是本地DNS缓存出现了问题。 为了提高网站访问速度，系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里，一旦再对这个网站进行访问，则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。 所以，如果本地DNS缓存出现了问题，会导致网站无法访问。 可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。

三、IE浏览器本身的问题：当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网站。 这时可以尝试用“上网助手IE修复专家”来修复，或者重启IE。

四、网络防火墙的问题：如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。

五、网络协议和网卡驱动的问题：IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。

本地连接dns缓存无法修复怎么办？

修复网络连接时出现DNS缓存无法清除的问题， 1遇到这种情况，我们能采取的最简单手段是刷新DNS，也就是删除 DNS 解析器缓存中的条目。 点击“开始”－“运行”－输入cmd并点击“确定”，在命令提示符窗口中键入：ipconfig /flushdns2如果上面不行的话，在系统服务里把DNS Client和DHCP client两个服务组件启动针对网络剪刀手 网络执法官 网络特工 等arp欺骗的攻击 ，可以用网卡修复操作中的清除arp缓存，可以用cmd命令中的 arp -d命令有一个好的办法是在按键精灵中写一个脚本如下：VBS Set Oshell = CreateObject()VBS cmd /c arp -d, vbHideVBS Set Oshell = NothingVBS End SubDelay 1000这个就是每隔1秒清除一次arp缓存，可以自己调整延时！！通过IPConfig提供的信息，可以确定存在于TCP/IP属性中的一些配置上的问题。 例如使用“IPConfig /all”就可以获取主机的详细的配置信息，其中包括IP地址、子网掩码和默认网关、DNS服务器等信息。 通过所获知的信息，可以迅速判断出网络的故障所在。 例如子网掩码为0.0.0.0时，则表示局域网中的IP地址可能有重复的现象存在；如果返回的本地 IP地址显示为169.254.*.*，子网掩码为255.255.0.0，则表示该IP地址是由WINDOWS XP的自动专用IP寻址功能分配的。 这意味着TCP/IP未能找到DHCP服务器，或是没有找到用于网络接口的默认网关。 如果返回的本地IP地址显示为 0.0.0.0，则既可能是DHCP初始化失败导致IP地址无法分配，也可能是因为网卡检测到缺少网络连接或TCP/IP检测到IP地址有冲突而导致的。 众所周知每台计算机要想正常上网需要有一个地址，这个地址就是我们常说的IP地址。 在实际工作中身为网络管理员的我们如何有效的管理这些IP地址呢？为每台计算机设置对应的IP地址，子网掩码，网关地址，DNS地址等网络参数的话固然是可以的，但是非常的烦琐，工作量大不说，在实际应用中很可能经常会出现冲突的现象。 我们如何有效的分配这些网络参数呢？DHCP服务可以帮我们大忙，通过将DHCP服务配置在专业的服务器上，然后为网络中所有普通客户机分配IP等信息是件效率非常高的工作。 不过DHCP在为我们网络管理提供便利的同时也带来了一些问题。 例如网络带宽受影响，客户机经常无法获得正确的地址信息，甚至是无法获得任何信息。 其实这些故障我们都可以按照一定的规律去解决的，今天就由笔者为各位IT168的读者全面介绍排查 DHCP故障的方法。 一、概念篇：在介绍排查DHCP故障之前首先为大家阐明几个概念性的东西，只有理论上充实了，才能更好的理解下面介绍的故障排除的思路。 第一：DHCP服务能够提供什么数据？DHCP服务不是万能的，他只能提供网络层相关的参数，例如IP地址，MASK地址，网关地址，WINS与DNS服务器地址等。 对于更低层的地址，诸如MAC地址等信息是无法提供的。 MAC地址是烧录在计算机网卡中的。 第二：多台DHCP服务器是否可以同时运行？DHCP服务器是通过广播包向客户机发送网络信息的，因此如果同一个网络中确切的说是同一个广播域中存在多台DHCP服务器的话，就会出现各个服务器提供各自的网络信息，这样就造成网络中广播数据包的冲突。 客户机不知道该接受哪台DHCP服务器发来的信息。 因此微软公司设置默认情况下同一个广播域网络中只能存在一台DHCP服务器，后设置建立或启用的DHCP将无法工作。 第三：租约是什么？在配置DHCP服务器过程中会设置租约的天数，那么什么是租约呢？在DHCP服务器将网络信息分配数据包发给客户机后会收到客户机发回的答复数据包，接着DHCP服务器会将已经分配出去的IP地址与从客户机接收到的该计算机MAC地址建立一个对应关系，并把这个对应关系保存在DHCP服务器的租约池中。 为什么需要这个租约池呢？一方面为下次分配网络参数信息提高了速度。 不过如果该MAC地址对应条目的客户计算机被移到其他地方或者MAC地址发生了改变的话，如果上面建立的对应关系一直保存在DHCP服务器的租约池中就会造成可用的IP地址数量越来越少，很多有效的地址被无效的MAC占用，因此微软引入了租约这个概念。 通过租约我们可以强制每隔一段时间将DHCP服务器的租约池中保存的对应条目全部清空，从而防止了非法MAC地址霸占合法IP的现象,

希望对你有帮助。