2026年6月,BlackHatAsia安全大会上南开大学安全团队对外公布一项重大漏洞研究成果——REBIRTHDAY攻击,曾经在2002年被全面修复防御的DNS生日攻击绕过现有防护机制再度生效,可针对全球主流DNS解析软件实施DNS缓存投毒攻击,一旦攻击成功,黑客可以篡改递归服务器缓存解析记录,将正规域名劫持至恶意钓鱼IP,大范围实施网络诈骗、流量劫持、网页挂马等恶意行为,本次漏洞波及22款主流DNS软件中的18款,包含BIND、Unbound、PowerDNS、思科、TP-Link内置DNS解析服务等几乎市面上所有常用解析组件,政企递归DNS服务器、家用路由器内置DNS、公共DNS节点全部在风险覆盖范围内。

传统DNS生日攻击当年依靠随机猜测DNS查询ID实现缓存污染,随着DNS随机端口、随机查询ID防护机制普及,该攻击方式沉寂二十余年。本次REBIRTHDAY攻击利用ECS扩展协议漏洞,绕过查询聚合防护策略,攻击者可以批量伪造DNS响应数据包,精准命中递归服务器未校验的缓存条目,无需暴力猜测随机ID即可完成DNS缓存投毒。简单来说,即便企业部署了随机端口、随机查询ID防护,只要DNS服务器开启ECS子网扩展功能,攻击者就能批量污染解析缓存,短时间内劫持一个区域内所有用户的域名访问请求,攻击效率远超传统DNS劫持方式。
6月安全厂商全网测绘数据显示,国内近62%的企业递归DNS服务器、75%的家用路由器默认开启ECS功能,大量政企内网DNS、运营商省级DNS节点存在高危漏洞隐患。一旦黑客利用REBIRTHDAY漏洞发起批量攻击,不仅企业官网会被劫持,政务、金融、医疗等关键行业业务系统的域名解析都可能被篡改,引发大规模数据泄露、业务系统被恶意控制的重大安全事故。目前漏洞细节已经公开,黑灰产团队快速开发自动化攻击工具,6月中下旬全网DNS缓存投毒攻击频次环比上涨147%,成为仅次于路由器DNS篡改的第二大DNS安全威胁。

常规DNS缓存投毒防护依靠随机化查询ID、随机UDP访问端口两大机制,攻击者无法精准伪造匹配的响应数据包,也就无法污染递归服务器缓存。而ECS扩展原本是为CDN就近调度设计,DNS服务器携带用户客户端子网地址,CDN可以根据用户地域分配最近节点,降低网络访问延迟。本次漏洞核心缺陷在于:开启ECS后,递归服务器会根据客户端子网拆分查询请求,原本聚合的单次查询被拆分为海量子网独立请求,随机查询ID的防护范围被大幅拆分,攻击者可以通过生日悖论概率算法,短时间内批量发送伪造DNS应答包,命中有效查询请求,完成缓存污染。
攻击成功后,被污染的DNS缓存会按照预设TTL时长生效,在缓存有效期内,该递归服务器下所有用户访问目标域名都会被解析到黑客指定的恶意IP。如果是运营商省级公共DNS被投毒,可能造成一个城市范围内数十万用户同时遭遇域名劫持,危害性远超单一路由器DNS篡改。和域名后台NS记录篡改不同,DNS缓存投毒不会修改权威域名解析配置,仅污染递归服务器本地缓存,域名管理员很难通过权威解析查询发现异常,溯源排查难度极高,往往出现大量用户被骗投诉后,企业才能发现解析遭遇劫持。
很多企业运维人员存在认知误区:部署DNSSEC就能完全抵御所有DNS缓存投毒攻击。实际本次REBIRTHDAY攻击可以针对未开启端到端校验的递归服务器实施劫持,即便权威域名配置DNSSEC签名,若递归DNS未开启严格校验,依旧会被缓存投毒攻击绕过防护,这也是6月安全机构反复强调递归服务器必须同步开启DNSSEC验证的核心原因。
第一类风险场景:企业自建内网递归DNS服务器。很多中大型政企、集团企业搭建内部DNS解析集群,用于内网业务域名、办公系统解析调度,运维人员为优化CDN访问速度默认开启ECS扩展,同时未部署DNSSEC校验、未定期升级BIND、Unbound软件版本,成为黑客重点攻击目标。一旦内网DNS被缓存投毒,员工访问财务、OA、客户管理系统都会被劫持至钓鱼站点,企业核心经营数据面临批量泄露风险。
第二类风险场景:运营商、云服务商公共DNS节点。6月多家云厂商完成安全自查,发现部分老旧公共DNS节点默认开启ECS且未做访问源限制,攻击者可以从公网直接发送海量伪造DNS数据包发起缓存投毒,威胁全网用户解析安全。各大云厂商在6月中下旬陆续推送安全补丁,临时关闭高危节点ECS功能,逐步完成全网DNS组件版本升级。
第三类风险场景:家用、小微企业入门级路由器。TP-Link、D-Link等多款老旧路由器内置DNS解析服务搭载存在漏洞的解析内核,默认开启ECS扩展,黑客既可以暴力破解路由器后台篡改静态DNS,也能利用REBIRTHDAY漏洞远程实施缓存投毒,双重风险叠加让小型办公网络成为DNS攻击高发区域。
第一步,临时关闭DNS服务器ECS客户端子网扩展功能,这是最快有效的应急防护手段。无论是自建BIND、Unbound递归服务器,还是路由器内置DNS、云公共DNS,关闭ECS扩展后即可直接阻断本次攻击利用路径,规避缓存投毒风险;对于依赖ECS做CDN就近调度的业务,可通过IP地址库地域调度替代ECS功能,平衡访问性能与网络安全。
第二步,全面升级所有DNS解析组件至官方最新安全版本,修复REBIRTHDAY漏洞对应的代码缺陷,同时禁用DNS协议老旧不安全端口,限制递归DNS仅对内网可信地址提供解析服务,禁止对公网开放递归查询,防止攻击者利用开放递归发起DNS放大DDoS攻击。配置DNS访问黑白名单,仅允许企业内网网段发起解析请求,从访问源层面缩小攻击面。
第三步,权威域名与递归服务器双向部署DNSSEC安全防护,企业所有官网、业务域名完成DNSSEC签名配置,内网递归DNS强制开启端到端DNSSEC校验,拒绝未通过数字签名验证的解析结果,从协议底层彻底抵御DNS缓存投毒、解析篡改类攻击。同时开启DNS访问全量日志,记录所有解析请求、响应结果,日志留存不少于6个月,出现劫持事件可快速溯源攻击IP与攻击时间。
除此之外,运维团队需要搭建DNS安全常态化监控体系,实时监测异常高频解析请求、短时间内大量NXDOMAIN不存在域名查询、同网段批量域名解析结果突变等风险行为,配置异常告警策略,一旦出现缓存投毒攻击前兆第一时间阻断恶意流量、清空异常DNS缓存,最大限度降低攻击带来的业务与品牌损失。
最新发布
根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告》
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。