域名服務器緩存污染域名服務器緩存污染（DNS cache poisoning），又名域名服務器快取侵害（DNS cache pollution），是指一些刻意制造或無意中制造出來的域名服務器封包，把域

域名服務器緩存污染

域名服務器緩存污染（DNS cache poisoning），又名域名服務器快取侵害（DNS cache pollution），是指一些刻意制造或無意中制造出來的域名服務器封包，把域名指往不正確的IP地址。一般來說，外間在互聯(lián)網(wǎng)上一般都有可信賴的域名服務器，但為減免網(wǎng)絡上的交通，一般的域名都會把外間的域名服務器資料暫存起來，待下次有其他機器要求解析域名時，可以立即提供服務。一但有關網(wǎng)域的局域域名服務器的緩存受到污染，就會把網(wǎng)域內的電腦導引往錯誤的服務器或服務器的網(wǎng)址。

域名服務器緩存污染可能是透過域名服務器軟件上的設計錯誤而產生，但亦可能由別有用心者透過研究開放架構的域名服務器系統(tǒng)來利用當中的漏洞。


透過改動Windows 2003的某些域名封包設定，可以摒除有可疑的封包。[1]為防止局域的域名服務器緩存污染除了要定時更新服務器的軟件以外，可能還需要人手改動某些設定，以提高服務器對可疑的域名封包作出篩選



緩存污染攻擊一般來說，一部連上了互聯(lián)網(wǎng)的電腦都會使用互聯(lián)網(wǎng)服務供應商(ISP)提供的域名服務器。這個服務器一般只會為供應商的客戶來服務，通常都會儲蓄起部分客戶曾經(jīng)請求過的域名的緩存。緩存污染攻擊就是針對這一種服務器，以影響服務器的用戶或下游服務。
防火長城的緩存污染攻擊在中國，對于所有經(jīng)過防火長城的在UDP的53端口上的域名查詢進行IDS入侵檢測，一經(jīng)發(fā)現(xiàn)與黑名單關鍵詞相匹配的域名查詢請求，其會馬上偽裝成目標域名的解析服務器給查詢者返回虛假結果。由于通常的域名查詢沒有任何認證機制，而且域名查詢通?；诘腢DP協(xié)議是無連接不可靠的協(xié)議，查詢者只能接受最先到達的格式正確結果，并丟棄之后的結果。[2]

對于不了解相關知識的網(wǎng)民來說也就是，由于系統(tǒng)默認使用的ISP提供的域名查詢服務器查詢國外的權威服務器時即被防火長城被污染，使其緩存受到污染，因而默認情況下查詢ISP的服務器就會獲得虛假IP地址；而用戶直接查詢境外域名查詢服務器（比如 Google Public DNS）有可能會被防火長城污染，從而在沒有任何防范機制的情況下仍然不能獲得目標網(wǎng)站正確的IP地址。