DNS 欺骗
本文约需 2 分钟阅读
DNS 欺骗 (DNS Spoofing) 是指伪造 DNS (Domain Name System) 的响应,将用户引导到攻击者准备的假冒网站而非正规网站的攻击。它也被称为 DNS 缓存投毒,即使用户输入正确的 URL 也会连接到假冒网站,因此比钓鱼更难被检测。截至 2025 年,DNS over HTTPS (DoH) 的普及正在推进,但企业内部网络中的 DNS 缓存投毒仍被报告为一种有效的攻击手法。
现场使用案例
“公司内部 DNS 服务器的缓存被污染,员工访问的群件登录页面被替换成了假冒网站。在约 50 人的认证信息被窃取之前,我们三天都没有察觉。”
DNS 欺骗的流程
DNS 欺骗的手法
攻击者会使用向 DNS 服务器缓存注入伪造 IP 地址的缓存投毒、在本地网络上拦截 DNS 响应的 DNS 劫持,以及用恶意软件改写终端 DNS 设置等手法。2008 年发现的 Kaminsky 攻击利用了 DNS 协议的根本性漏洞,影响了整个互联网。DNS 安全书籍 (Amazon)可以学习技术细节。
实际的受害情景
在连接公共 Wi-Fi 时,存在攻击者伪造 DNS 响应将用户引导至网上银行假冒网站并窃取登录信息的情况。由于浏览器地址栏显示的是正确的 URL,用户很难察觉这是假冒网站。不过,如果是 HTTPS 连接,会因证书不匹配而显示警告,因此确认 SSL/TLS 证书非常重要。DNS 安全一文中详细讲解了对策。
对策方法
通过引入 DNSSEC (DNS Security Extensions),可以对 DNS 响应的真实性进行密码学验证。使用 DNS over HTTPS (DoH) 或 DNS over TLS (DoT),可以加密 DNS 查询本身以防止篡改。在个人层面,使用可信赖的 DNS 服务器 (Google Public DNS、Cloudflare DNS),并在公共 Wi-Fi 下配合使用 VPN 是有效的做法。请用强随机密码保护路由器的管理界面,防止 DNS 设置被篡改。网络防御指南 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?