美国服务器DNS缓存欺骗是 DNS记录更改，导致恶意重定向流量的结果。美国服务器DNS 缓存欺骗可以通过直接攻击 DNS 美国服务器主机，或通过任何形式的专门针对 DNS 流量的中间人攻击来执行。下面美联科技小编就来具体介绍下美国服务器DNS缓存欺骗的内容。

美国服务器DNS 缓存欺骗以一种利用 DNS 通信结构的方式明确地工作，当 DNS 美国服务器主机尝试在域上执行查找时，它会将请求转发到根权威 DNS，并沿着 DNS 美国服务器主机链向下查询，直到它到达域上的权威 DNS 美国服务器主机。

由于本地 DNS 美国服务器主机不知道具体哪个服务器负责对应哪个域，并且不知道到每个权威服务器的完整路由，因此只要回复与查询匹配并且格式正确，它就会从任何地方接受对其查询的回复。

因此攻击者利用在回复本地 DNS 美国服务器主机时，击败实际的权威 DNS 美国服务器，这样做本地 DNS 美国服务器主机将会使用攻击者的 DNS 记录，而不是实际的权威答案。由于 DNS 的性质，本地 DNS 美国服务器主机无法确定回复的真实性。

由于 DNS 美国服务器主机将在内部缓存查询，因此每次请求域时，不必花费时间查询权威美国服务器主机，从而加剧了这种攻击。而这同时带来了另一个问题，因为如果攻击者可以击败权威DNS 美国服务器主机进行回复，那么攻击者记录将被本地 DNS 美国服务器主机缓存，这意味着任何使用本地DNS美国服务器主机的用户都将获得攻击者记录，可能会重定向所有使用该本地 DNS 美国服务器主机的用户，都可以访问攻击者的网站。

美国服务器DNS 缓存欺骗攻击的案例：

案例一：生日攻击的盲目响应伪造

美国服务器DNS 协议交换不验证对递归迭代查询的响应，验证查询只会检查 16 位事务 ID 以及响应数据包的源 IP 地址和目标端口。在 2008 年之前，所有 DNS 使用固定端口53 解析，因此除了事务 ID 之外，欺骗 DNS 回复所需的所有信息都是可预测的。用这种弱点攻击 DNS 被称为【生日悖论】，平均需要 256 次来猜测事务 ID。

为了使攻击成功，伪造的 DNS 回复必须在合法权威响应之前到达目标解析器。如果合法响应首先到达，它将由解析器缓存，并且直到其生存时间TTL到期，解析器将不会要求权威服务器解析相同的域名，从而防止攻击者中毒映射该域。

案例二：窃听

许多增强 DNS 安全性的新提议包括源端口随机化，0x20 XOR 编码，WSEC-DNS，这些都取决于用于身份验证的组件的不对称可访问性。 换句话说，它们通过隐匿而不是通过身份验证和加密的机密性来提供安全性。它们的唯一目标是如上所述，防止盲目攻击使用这些安全方法，仍然使 DNS 容易遭受受损和网络窃听者的轻微攻击，以打破并执行如上所述的相同攻击，这次没有盲目猜测。

即使在交换环境中，也可以使用 ARP 中毒和类似技术强制所有数据包进入恶意计算机，并且可以击破这种混淆技术。

美联科技已与全球多个国家的顶级数据中心达成战略合作关系，为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。关注美联科技，了解更多IDC资讯！