REBIRTHDAY新型DNS缓存投毒技术公开,7月国内多家安全厂商发布集中预警
进入7月,REBIRTHDAY新型DNS缓存投毒攻击持续受到国内网络安全行业高度关注,多家安全厂商同步发布专项风险预警。该攻击技术由高校安全研究团队对外完整披露,实现了经典DNS生日攻击的复活,可绕过当前主流递归解析服务器防护机制,实施远距离旁路缓存投毒。
传统DNS生日攻击早在二十年前被广泛研究,随着随机源端口、查询聚合等防护手段普及,攻击实用性大幅下降,长期未形成大规模威胁。而REBIRTHDAY攻击另辟蹊径,瞄准EDNSClientSubnet(ECS)扩展功能实现突破。测绘数据显示,BIND、Unbound等多款主流DNS解析软件均存在相关实现缺陷,大量企业内网递归DNS、运营商DNS节点、路由器DNS服务面临被劫持风险。一旦攻击成功,缓存内域名解析记录将被篡改,内网所有访问用户都会跳转至钓鱼、恶意站点。

一、REBIRTHDAY攻击底层原理:利用ECS缺陷绕过查询聚合防护
很多运维部署随机端口、随机TXID之后便认为可以抵御DNS缓存投毒,而REBIRTHDAY能够突破这类传统防护,核心根源在于ECS校验逻辑缺陷。
ECS广泛用于智能DNS、CDN就近调度,递归服务器依据不同客户端子网区分查询。存在漏洞的DNS服务会将相同域名、不同ECS网段的请求视作独立查询,不再启用查询聚合策略,向外发起多条独立上游请求,占用大量随机源端口。
攻击者借此构造海量差异化ECS查询,迫使服务器启用数十个端口并发查询;随后批量推送伪造DNS应答包,借助生日悖论大幅提升端口碰撞成功率。即便不控制网络链路,外网攻击者也能实现旁路投毒,将恶意IP写入DNS缓存,在TTL有效期内持续劫持域名访问流量。
二、攻击落地后的现实危害场景
1、企业官网劫持,引发用户数据泄露
缓存被污染后员工访问OA、财务系统、客户平台跳转钓鱼页面,账号密码被黑客窃取,金融、政企单位风险尤为突出。
2、内网业务系统通信异常
服务器之间依赖域名通信,解析记录遭篡改后业务调用失败,引发生产环境大面积故障。
3、物联网终端批量失陷
摄像头、工控设备、智能终端依托内网DNS完成云端连接,劫持后终端接入攻击者受控服务器。
4、供应链连锁风险
若服务商公共递归DNS遭到投毒,下游数千家企业将同步遭受域名劫持,影响范围快速扩散。
三、高危资产自查清单,快速识别薄弱环节
1、自建BIND、Unbound递归DNS默认开启ECS扩展。
2、边界路由器、防火墙内置DNS转发功能未做安全加固。
3、公网开放递归查询,未限制访问源IP网段。
4、DNS未部署DNSSEC签名校验,无法识别伪造解析结果。
5、缺少DNS流量审计,无法监测异常高频域名查询行为。
四、分层防护处置方案
1、短期应急缓解措施
临时关闭递归服务器ECS功能,是最快阻断REBIRTHDAY攻击利用路径的手段;严格禁止对公网开放递归解析,仅对内网可信网段提供DNS服务。
2、中长期安全加固
升级DNS软件至最新版本,补齐ECS一致性校验代码缺陷;部署DNSSEC,强制校验解析记录数字签名,从底层抵御缓存投毒。
3、运维常态化管控
开启DNS全量日志留存,监控短时间大量同源域名、差异化ECS特征请求;定期开展DNS安全扫描,持续跟踪解析缓存异常变更。
五、行业安全总结
REBIRTHDAY攻击曝光意味着,广泛部署的ECS智能调度功能正在形成全新攻击面。DNS作为互联网基础设施,长期被不少运维团队忽视持续巡检。
7月各大厂商集中预警也释放明确信号:仅依靠随机端口、TXID等传统手段不足以应对新型投毒攻击。企业应当重新梳理递归DNS架构,平衡CDN就近调度需求与解析安全风险,结合临时策略、版本升级、DNSSEC多重手段构建纵深防御,防止黑客利用REBIRTHDAY漏洞实施大规模域名劫持攻击。


闽公网安备 35021102000564号