早在2008年，域名系统（DNS） 服务器缓存中毒是一件大事。通过使用误导性的Internet协议（IP）地址从DNS重定向结果，黑客可以将您的Web浏览器从您想要的安全站点重定向到伪造的恶意软件。发现了修复程序，DNS缓存中毒攻击变得罕见。现在，由加利福尼亚大学里弗赛德分校研究人员的发现，发现了一种利用易受攻击的DNS缓存的新方法：Sad DNS。

它是这样工作的：首先，DNS是互联网的主地址列表。有了它，而不是写出来的IPv4地址，如“173.245.48.1”，或IPv6地址，如“2400：CB00：2048：1 :: c629：d7a2”之一的CloudFlare的多个地址，您只需键入“ http://www.cloudflare.com ”，DNS为您找到了正确的IP地址，您就可以使用了。

但是，在DNS缓存中毒的情况下，您的DNS请求将被拦截并重定向到有毒的DNS缓存。该恶意缓存为您的Web浏览器或其他Internet应用程序提供了恶意IP地址。而不是去您要去的地方，您被送到了一个假网站。然后，该伪造的网站可以将勒索软件上载到您的PC或获取您的用户名，密码和帐号。一句话：哎呀！

现代防御措施（例如，随机分配DNS查询ID和DNS请求源端口，基于DNS的命名实体身份验证（DANE）和域名系统安全扩展（DNSSE）） 在很大程度上阻止了DNS缓存中毒。但是，这些DNS安全方法尚未得到足够的部署，因此仍会发生基于DNS的攻击。

现在，尽管研究人员发现了可以对最流行的DNS软件堆栈SAD DNS进行有效的边信道攻击。易受攻击的程序包括在 Linux和其他操作系统上运行的，广泛使用的 BIND，Unbound和dnsmasq。主要漏洞是将DNS服务器的操作系统和网络配置为允许Internet控制消息协议ICMP错误消息时。 

它是这样工作的：首先，攻击者使用虎钳来欺骗IP地址，并使用能够触发DNS转发器或解析器发出请求的计算机。转发器和解析器帮助确定将DNS请求发送到哪里。例如，对于转发者攻击，当攻击者登录到由无线路由器（例如学校或图书馆的公共无线网络）管理的LAN时。诸如Cloudflare的1.1.1.1和Google 8.8.8.8之类的公共DNS解析器也可能受到攻击。 

接下来，研究人员使用了一个网络通道，该网络通道与DNS请求中使用的主要通道关联，但不在主要通道之外。然后，通过使通道保持打开状态足够长的时间以每秒运行1000次猜测，直到找到正确的端口，从而找出源端口号。在取消源端口随机化的情况下，该组插入了恶意IP地址并成功发起了DNS缓存中毒攻击。

在他们的研究中，他们发现互联网上开放式解析器人口中只有34％以上是脆弱的。他们发现85％的最受欢迎的免费公共DNS服务容易受到攻击。 

您可以简单地转到此Sad DNS网页并按照说明检查自己是否愿意受到攻击。我还要补充一点，我既具有很高的安全性又具有网络意识，并且我的系统容易受到攻击。 

有一些方法可以阻止这些攻击。确实，我们已经有了这些方法。DNSSEC会有所帮助，但仍部署不足。如果您使用的是相对较新的RFC 7873 DNS cookie，也将有所帮助。 

不过，最简单的缓解措施是完全禁止传出的ICMP答复。这是以丢失某些网络故障排除和诊断功能为代价的。 

另一个简单的解决方法是更积极地设置DNS查询超时。例如，您应该将其设置为少于一秒钟。这样，在攻击者可以开始注入恶意响应之前，源端口将短暂存在并消失。但是，不利的一面是可能引入更多的重传查询，并且整体性能较差。

无论使用哪种方法，一件事都很清楚。如果运行DNS服务器或进行转发，则必须执行某些操作。这种攻击太容易了。犯罪黑客不久将使用它。并且，尽管我当然推荐快速简便的修复程序，但最终开始使用DNSSEC真的会杀死您吗？每个人都采用它已经过去了。 

对于用户，您必须比以往任何时候都更加谨慎，当您访问诸如亚马逊或本地银行之类的商业网站时，该网站确实是您认为的那个网站。