3) DNS欺騙

域名系統(tǒng)( Domain Name System，DNS)是互聯(lián)網(wǎng)中大量使用的基礎(chǔ)服務(wù)。TCP/IP協(xié)議使用網(wǎng)絡(luò)層地址（IP地址）定位一臺(tái)主機(jī)，而IP地址對(duì)于用戶是難以記憶的，因此用戶經(jīng)常采用www.cisp.org.cn這樣的域名訪問主機(jī)，DNS的作用就是為用戶提供域名與IP地址自勺解析。域名是一個(gè)分布的數(shù)據(jù)庫系統(tǒng)，不同的域名分布在全球不同的域名服務(wù)器上。在實(shí)際應(yīng)用中，DNS服務(wù)器對(duì)于自身無法解析的域名，會(huì)向其他DNS服務(wù)器查詢，并且為了提高效率，域名服務(wù)器會(huì)對(duì)已經(jīng)查詢的結(jié)果進(jìn)行緩存。攻擊者利用以上特點(diǎn)，通過偽造DNS應(yīng)答在目標(biāo)DNS服務(wù)器上生成錯(cuò)誤的緩存數(shù)據(jù)，從而欺騙用戶訪問錯(cuò)誤的服務(wù)器。這種攻擊就是DNS欺騙，也稱為DNS高速緩存污染。DNS欺騙的實(shí)現(xiàn)過程如下：

攻擊者向DNS服務(wù)器發(fā)送域名查詢請(qǐng)求，如果DNS服務(wù)器中無此域名的緩存信息，就會(huì)向其他DNS服務(wù)器進(jìn)行查詢，此時(shí)攻擊者立即向DNS服務(wù)器發(fā)送偽造的DNS應(yīng)答報(bào)文，告訴DNS艮務(wù)器WWW.Cisp.org.cn的IP地址為11.11.11.11，如果這個(gè)應(yīng)答報(bào)文被接受，DNS服務(wù)器會(huì)將此應(yīng)答報(bào)文的數(shù)據(jù)存人緩存中。攻擊者就成功的生成了一條錯(cuò)誤的DNS記錄。當(dāng)其他客戶機(jī)再向該DNS服務(wù)器查詢www.clsp.org.cn域名對(duì)應(yīng)的IP地址時(shí)，DNS服-器會(huì)將緩存中的記錄WWW.C-1。p.o，g.cn<->ll.ll.ll.ll返回給查詢的客戶機(jī)，從而將客戶機(jī)導(dǎo)向錯(cuò)誤的主機(jī)。

由于DNS緩存存在時(shí)間限制，DNS欺騙存在實(shí)效性，一旦超過緩存的有效時(shí)間，除非重新構(gòu)造緩存中的記錄，否則DNS欺騙會(huì)自動(dòng)失效。此外，與ARP欺騙不同，攻擊者不臺(tái)旨替換緩存中已經(jīng)存在的記錄。

解決DNS欺騙最有效的方法是采用最新版本的DNS服務(wù)軟件，新版本的軟件在抵御DNS 欺騙方面更優(yōu)于老版本軟件，也可以通過配置系統(tǒng)，如限制域名服務(wù)器做出響應(yīng)的地址、限制發(fā)出查詢請(qǐng)求的客戶機(jī)地址等，降低攻擊者DNS欺騙成功的幾率。