域名伺服器快取污染

此條目論述以部分區域為主，未必有普世通用的觀點。 (2023年11月12日) 請協助補充內容以避免偏頗，或討論本文的問題。

網域伺服器快取污染（DNS cache pollution）或DNS污染，是指由於防火長城自動執行DNS劫持攻擊導致DNS伺服器快取了錯誤記錄的現象。而域名伺服器快取投毒（DNS cache poisoning）和DNS快取投毒指由防火長城執行的DNS劫持攻擊。污染一詞可能取自域名系統域名解析之特性，若遞歸DNS解析器查詢上游時收到錯誤回覆，所有下游也會受影響。

快取污染攻擊

DNS劫持是一類旁觀者攻擊，攻擊者藉由其在網絡拓撲中的特殊位置，傳送比真實的DNS回應更早到達攻擊目標的偽造DNS回應。 一部連上了互聯網的電腦一般都會使用互聯網服務供應商提供的遞歸DNS伺服器，這個伺服器通常都會將部分客戶曾經請求過的域名暫存起來。快取污染攻擊就是針對這一特性，影響伺服器的用戶或下游服務。

中國防火長城

在中國大陸，對所有經過防火長城（英語：Great Firewall，常用簡稱：GFW）的在UDP的53埠上的域名查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的域名查詢請求，會馬上偽裝成目標解析伺服器注入偽造的查詢結果。攻擊僅出現在DNS查詢之路由經過防火長城時^{[註 1]}。偽造的查詢結果中的IP位址不是一成不變的，在一段時間後會更新。^[1][2]

對於TCP協定下的域名查詢，防火長城可使用TCP重設攻擊的方法進行干擾。

互聯網服務供應商

中國大陸的互聯網服務供應商經常劫持部分域名，轉到自己指定的網站，以提供自己的廣告，方式為劫持域名不存在時返回的NXDOMAIN記錄（Non-existent domain）返回自己伺服器的IP，從而跳轉至自己的伺服器上顯示廣告等內容。

2021年，香港於1月起無法訪問網站「香港編年史」，傳媒訊息稱警方要求網絡供應商封鎖網站。^[3][4]「香港編年史」於1月6日更改IP地址，但再次被封，共用同一IP的網站都無法訪問，包括麻醉科臨床藥理期刊（Journal of Anaesthesiology Clinical Pharmacology, JOACP）及美國機械人科技公司Apptronik。

應對

DNSSEC技術為DNS解析服務提供了解析數據驗證機制，理論上可以有效抵禦劫持。此外，DNSCrypt、DoT、DoH等方法通過將DNS請求封裝於安全連接內，以保護DNS請求中的數據不被中間傳輸裝置篡改。

註釋

參考文獻

參見

• 名稱伺服器
• 根域名伺服器
• DNSSEC
• 金盾工程
• 防火長城

外部連結

維基學院中的相關研究或學習資源：域名伺服器快取污染

• BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)
• Predictable transaction IDs in Microsoft DNS server allow cache poisoning
• SANS DNS cache poisoning update
• DNS Threats & Weaknesses: research and presentations
• Blocking Unwanted Domain Names（頁面存檔備份，存於互聯網檔案館） Creative Usage of the Hosts File
• Security-Database Tools Watch PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
• Movie explaining DNS Cache Poisioning

閱 論 編 電腦入侵 事件 2003年驟雨計劃 2009年極光行動 2010年澳大利亞網絡攻擊（英語：February 2010 Australian cyberattacks） 2010年償還行動（英語：Operation Payback） 2011年DigiNotar黑客入侵事件 2011年突尼斯行動（英語：Operation Tunisia） 2011年PSN個人資訊泄露事件 2011年反安全行動（英語：Operation AntiSec） 2012–2013年斯特拉特福公司電郵泄露事件 2012年領英黑客入侵事件（英語：2012 LinkedIn hack） 2013年南韓網絡攻擊（英語：2013 South Korea cyberattack） 2013年Snapchat黑客入侵事件 2014年Tovar行動（英語：Operation Tovar） 2014年日本文殊核電站電腦病毒事件 2014年名人相片泄露事件 2014年心臟出血漏洞 2014年破殼漏洞 2014年貴賓犬漏洞 2014年索尼影業黑客入侵事件 2015年FREAK漏洞 2015年美國聯邦人事管理局資料外泄案 偉易達集團 孟加拉銀行遭黑客入侵事件 Dyn網絡攻擊 俄羅斯干預美國總統選舉 WannaCry勒索病毒 2017年威斯敏斯特網絡攻擊（英語：2017 Westminster cyberattack） Petya勒索病毒 2017年烏克蘭受網絡攻擊事件（英語：2017 cyberattacks on Ukraine） Equifax數據泄露 德勤 熔毀/幽靈漏洞 美國中央情報局被指對中國大陸網絡滲透攻擊 Zoom轟炸 Twitter比特幣騙局 2020年美國聯邦政府數據泄露事件 殖民管道網絡攻擊 Log4j2漏洞事件 2022年俄羅斯對烏克蘭的網絡攻擊 上海公安數據庫泄露事件 2022年西北工業大學遭網絡攻擊事件 2023年美國五角大樓檔案泄露事件 政府機構 美國網路司令部 美國國家安全域特定入侵行動辦公室 美國互聯網犯罪投訴中心（英語：Internet Crime Complaint Center） 中華人民共和國國家計算機網絡與信息安全管理中心 中國人民解放軍網絡空間部隊 朝鮮網絡部隊（日語：北朝鮮サイバー軍）（朝鮮人民軍第121局） 敘利亞電子軍（英語：Syrian Electronic Army） 日本網絡防衛隊（日語：自衛隊サイバー防衛隊） 國際打擊網絡威脅多邊夥伴（英語：International Multilateral Partnership Against Cyber Threats） 歐洲網絡犯罪中心（英語：European Cybercrime Centre） 中華民國數位發展部 中華民國國防部資通電軍指揮部 烏克蘭資訊科技軍 新加坡共和國數碼部隊 黑客組織 匿名者 烏克蘭戰爭期間的行動（英語：Anonymous and the 2022 Russian invasion of Ukraine） 網絡金雕（英語：CyberBerkut） Derp（英語：Derp (hacker group)） Goatse安全（英語：Goatse Security） Hacking Team 蜥蜴小隊（英語：Lizard Squad） LulzRaft（英語：LulzRaft） LulzSec NullCrew（英語：NullCrew） RedHack（英語：RedHack） TeaMp0isoN（英語：TeaMp0isoN） 地下納粹（英語：UGNazi） 混沌電腦俱樂部 死牛崇拜 紅客 韓國網絡外交使節團 L0pht重工 方程式 隱形人安全集團 DarkSide APT 27 網絡游擊隊 個人 陳盈豪 約翰·德雷珀（英語：John Draper） 凱文·米特尼克 下村努 羅伯特·泰潘·莫里斯 凱文·保臣 阿德里安·拉莫 Donncha O'Cearbhaill（英語：Donncha O'Cearbhaill） 傑里米·哈蒙德（英語：Jeremy Hammond） 喬治·霍茲 古馳法（英語：Guccifer） 阿爾伯特·岡薩雷斯（英語：Albert Gonzalez） 赫克特·蒙賽格 (薩布)（英語：Hector Monsegur） 傑克·戴維斯 (綠色雕塑)（英語：Topiary (hacktivist)） 小丑 (The Jester)（英語：The Jester） weev（英語：weev） 加里·麥金農（英語：Gary McKinnon） 惡意軟件 Careto (面具)（英語：Careto (malware)） CryptoLocker Dexter（英語：Dexter (malware)） 毒區（英語：Duqu） FinFisher（英語：FinFisher） 火焰 Gameover ZeuS（英語：Gameover ZeuS） Mahdi（英語：Mahdi (malware)） Metulji殭屍網絡（英語：Metulji botnet） NSA ANT產品目錄（英語：NSA ANT catalog） R2D2（英語：R2D2 (trojan)） Shamoon（英語：Shamoon） Stars（英語：Stars virus） 震網 黑暗幽靈 (DCM) 震盪波蠕蟲 手機惡意軟件（英語：Mobile malware） TeslaCrypt VPNFilter WannaCry Petya 瑞晶 peacenotwar（英語：peacenotwar） 概念·思想 《黑客宣言》 網絡戰 網絡恐怖主義 黑客行動主義 黑客 電腦犯罪 軟件破解（逆向工程） 手段·技術 安全漏洞 漏洞利用 進階長期威脅（APT） 零日攻擊 DNS污染 緩衝區溢位 堆風水（英語：Heap feng shui） 堆噴射（英語：Heap spraying） 窮舉攻擊/蠻力攻擊 跨站指令碼攻擊（XSS） 水坑攻擊 偷渡式下載 SQL注入 中間人攻擊 中途相遇攻擊 谷歌駭侵法

閱 論 編 互聯網審查規避技術 背景 互聯網審查 中國網絡審查 國家區域網絡 審查與封鎖技術 DNS污染 IP封鎖 路由黑洞 BGP劫持 TCP重設攻擊 深度包檢測 對特定網站的封鎖 維基媒體 Facebook 推特 原理 藉助代理伺服器 P2P 網頁代理 SSH VPN 代理自動組態 反向代理 不藉助代理伺服器 HTTPS desync Hosts DNSCrypt 域前置 ESNI/ECH 折射網絡 連線軟件 自由軟件 賽風 西廂計劃 fqrouter GoAgent → XX-Net Shadowsocks Outline VPN ShadowsocksR V2Ray V2Fly Clash VPN Gate WireGuard INTANG Trojan Geneva Tcpioneer GoodbyeDPI 專有軟件 自由門 無界瀏覽 Hotspot Shield 世界通 逍遙遊 火鳳凰 花園網 Puff Telex 自由瀏覽 Tuber瀏覽器 ExpressVPN 藍燈 瀏覽器擴充 uProxy 紅杏 匿名代理 匿名軟件 Tor I2P JAP 匿名P2P（英語：Anonymous P2P）網絡 ZeroNet Freenet StealthNet 相關團體 GreatFire 自由微博 自由瀏覽 NetBlocks 自由網盟 Turkey Blocks 互聯網干預開放觀察 相關人物 阮曉寰 刪除線：原開發者停止維護。