主流域名解析庫(kù)曝重大DNS投毒漏洞，應(yīng)如何做好有效應(yīng)對(duì) ？

近日，一個(gè)未修復(fù)的關(guān)鍵安全漏洞被披露
，通過(guò)利用該漏洞可對(duì)物聯(lián)網(wǎng)類產(chǎn)品造成巨大的安全威脅
。該漏洞最早于2021年9月被報(bào)告 
，影響了用于開(kāi)發(fā)嵌入式Linux系統(tǒng)的兩個(gè)流行的C庫(kù)——uClibc和uClibc-ng的域名DNS系統(tǒng)的正常使用，這可能會(huì)使數(shù)百萬(wàn)物聯(lián)網(wǎng)設(shè)備面臨巨大的安全威脅。

網(wǎng)絡(luò)安全研究人員表示 ，該漏洞可能允許攻擊者對(duì)目標(biāo)設(shè)備實(shí)施DNS投毒攻擊 。成功利用該漏洞可進(jìn)行中間人 ( MitM ) 攻擊并破壞DNS緩存，從而將互聯(lián)網(wǎng)流量重定向到他們控制的惡意服務(wù)器上 。如果將操作系統(tǒng)配置為使用固定或可預(yù)測(cè)的源端口，則可以輕松利用該漏洞 ，竊取和操縱用戶傳輸?shù)男畔?，并對(duì)這些設(shè)備進(jìn)行其他攻擊。

什么是DNS投毒 ？

DNS緩存投毒又稱DNS欺騙，是一種通過(guò)查找并利用DNS系統(tǒng)中存在的漏洞 ，將流量從合法服務(wù)器引導(dǎo)至虛假服務(wù)器上的攻擊方式 。與一般的釣魚(yú)攻擊采用非法URL不同的是，這種攻擊使用的是合法URL地址
。

DNS投毒的工作機(jī)制

在實(shí)際的DNS解析過(guò)程中，用戶請(qǐng)求某個(gè)網(wǎng)站 
，瀏覽器首先會(huì)查找本機(jī)中的DNS緩存 ，如果DNS緩存中記錄了該網(wǎng)站和IP的映射關(guān)系，就會(huì)直接將結(jié)果返回給用戶，用戶對(duì)所得的IP地址發(fā)起訪問(wèn) 。如果緩存中沒(méi)有相關(guān)記錄 ，才會(huì)委托遞歸服務(wù)器發(fā)起遞歸查詢。

這種查詢機(jī)制，縮短了全球查詢的時(shí)間 ，可以讓用戶獲得更快的訪問(wèn)體驗(yàn)，但也存在一定的安全風(fēng)險(xiǎn)。如果攻擊者通過(guò)控制用戶的主機(jī)或者使用惡意軟件攻擊用戶的DNS緩存