近來，網絡上出現史上最強大的互聯網漏洞——DNS緩存漏洞，此漏洞直指我們應用中互聯網脆弱的安全系統，而安全性差的根源在于設計缺陷。利用該漏洞輕則可以讓用戶無法打開網頁，重則是網絡釣魚和金融詐騙，給受害者造成巨大損失。

緩存中毒攻擊者(cache poisoning)給DNS服務器注入非法網絡域名地址，如果服務器接受這個非法地址，那說明其緩存就被攻擊了，而且以后響應的域名請求將會受黑客所控。當這些非法地址進入服務器緩存，用戶的瀏覽器或者郵件服務器就會自動跳轉到DNS指定的地址。

這種攻擊往往被歸類為域欺騙攻擊(pharming attack)，由此它會導致出現很多嚴重問題。首先，用戶往往會以為登陸的是自己熟悉的網站，而它們卻并不是。與釣魚攻擊采用非法URL不同的是，這種攻擊使用的是合法的URL地址。

另外一個問題是，成百上千的用戶會被植入緩存中毒攻擊的服務器重定向，引導至黑客設立的圈套站點上。這種問題的嚴重性，會與使用域名請求的用戶多少相關。在這樣的情況下，即使沒有豐富技術的黑客也可以造成很大的麻煩，讓用戶稀里糊涂的就把自己網銀帳號密碼，網游帳號密碼告訴給他人。

用這種類似的方法，郵件系統也會受到黑客攻擊。只不過不是給Web服務器，而是給郵件服務器非法地址，從而讓系統引導至受到控制的郵件服務器中。

那么，黑客究竟是怎么做到使緩存服務器接受非法地址呢？當一個DNS緩存服務器從用戶處獲得域名請求時，服務器會在緩存中尋找是否有這個地址。如果沒有，它就會上級DNS服務器發出請求。

在出現這種漏洞之前，攻擊者很難攻擊DNS服務器：他們必須通過發送偽造查詢響應、獲得正確的查詢參數以進入緩存服務器，進而控制合法DNS服務器。這個過程通常持續不到一秒鐘，因此黑客攻擊很難獲得成功。

但是，現在有安全人員找到該漏洞，使得這一過程朝向有利于攻擊者轉變。這是因為攻擊者獲悉，對緩存服務器進行持續不斷的查詢請求，服務器不能給與回應。比如，一個黑客可能會發出類似請求：1q2w3e.google.com，而且他也知道緩存服務器中不可能有這個域名。這就會引起緩存服務器發出更多查詢請求，并且會出現很多欺騙應答的機會。

當然，這并不是說攻擊者擁有很多機會來猜測查詢參數的正確值。事實上，是這種開放源DNS服務器漏洞的公布，會讓它在10秒鐘內受到危險攻擊。

要知道，即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大，因為沒有人會發出這樣的域名請求，但是，這正是攻擊者發揮威力的地方所在。通過欺騙應答，黑客也可以給緩存服務器指向一個非法的服務器域名地址，該地址一般為黑客所控制。而且通常來說，這兩方面的信息緩存服務器都會存儲。

由于攻擊者現在可以控制域名服務器，每個查詢請求都會被重定向到黑客指定的服務器上。這也就意味著，黑客可以控制所有域名下的子域網址：www.bigbank.com，mail.bigbank.com，ftp.bigbank.com等等。這非常強大，任何涉及到子域網址的查詢，都可以引導至由黑客指定的任何服務器上。

如何應對？

為了解決這些問題，用于查詢的UDP端口不應該再是默認的53，而是應該在UDP端口范圍內隨機選擇(排除預留端口)

但是，很多企業發現他們的DNS服務器遠落后于提供網絡地址轉換(network address translation ，NAT)的各種設備。大部分NAT設備會隨機選擇NDS服務器使用的UDP端口，這樣就會使得新的安全補丁會失去效果。IT經理也不會在防火墻中開放全方位的UDP端口。更嚴重的是，有安全研究員證明，即使提供64000UDP端口中隨機選擇的保護，DNS服務器也照樣有可能受到中毒攻擊。

現在是時候考慮保護DNS的其他方案了。UDP源端口隨機化選擇是一種比較有用的防護舉措，但是這會打破UDP源端口隨機化給與DNS服務器的保護，同由此全方位開放端口面臨的風險或者降低防火墻性能這兩者間的平衡關系。還有一種比較有效的防護措施就是，當檢測到面臨潛在攻擊風險時，讓DNS服務器切換到使用TCP連接。

如果攻擊者猜測到了必要的參數以欺騙查詢響應，那么就需要額外的防御措施了。這意味著DNS服務器需要更智能化，能夠準確分析每個查詢響應，以便剔除攻擊者發送的非法應答中的有害信息。