3) DNS欺騙

域名系統(tǒng)( Domain Name System，DNS)是互聯(lián)網(wǎng)中大量使用的基礎(chǔ)服務(wù)。TCP/IP協(xié)議使用網(wǎng)絡(luò)層地址（IP地址）定位一臺主機，而IP地址對于用戶是難以記憶的，因此用戶經(jīng)常采用www.cisp.org.cn這樣的域名訪問主機，DNS的作用就是為用戶提供域名與IP地址自勺解析。域名是一個分布的數(shù)據(jù)庫系統(tǒng)，不同的域名分布在全球不同的域名服務(wù)器上。在實際應(yīng)用中，DNS服務(wù)器對于自身無法解析的域名，會向其他DNS服務(wù)器查詢，并且為了提高效率，域名服務(wù)器會對已經(jīng)查詢的結(jié)果進(jìn)行緩存。攻擊者利用以上特點，通過偽造DNS應(yīng)答在目標(biāo)DNS服務(wù)器上生成錯誤的緩存數(shù)據(jù)，從而欺騙用戶訪問錯誤的服務(wù)器。這種攻擊就是DNS欺騙，也稱為DNS高速緩存污染。DNS欺騙的實現(xiàn)過程如下：

攻擊者向DNS服務(wù)器發(fā)送域名查詢請求，如果DNS服務(wù)器中無此域名的緩存信息，就會向其他DNS服務(wù)器進(jìn)行查詢，此時攻擊者立即向DNS服務(wù)器發(fā)送偽造的DNS應(yīng)答報文，告訴DNS艮務(wù)器WWW.Cisp.org.cn的IP地址為11.11.11.11，如果這個應(yīng)答報文被接受，DNS服務(wù)器會將此應(yīng)答報文的數(shù)據(jù)存人緩存中。攻擊者就成功的生成了一條錯誤的DNS記錄。當(dāng)其他客戶機再向該DNS服務(wù)器查詢www.clsp.org.cn域名對應(yīng)的IP地址時，DNS服-器會將緩存中的記錄WWW.C-1。p.o，g.cn<->ll.ll.ll.ll返回給查詢的客戶機，從而將客戶機導(dǎo)向錯誤的主機。

由于DNS緩存存在時間限制，DNS欺騙存在實效性，一旦超過緩存的有效時間，除非重新構(gòu)造緩存中的記錄，否則DNS欺騙會自動失效。此外，與ARP欺騙不同，攻擊者不臺旨替換緩存中已經(jīng)存在的記錄。

解決DNS欺騙最有效的方法是采用最新版本的DNS服務(wù)軟件，新版本的軟件在抵御DNS 欺騙方面更優(yōu)于老版本軟件，也可以通過配置系統(tǒng)，如限制域名服務(wù)器做出響應(yīng)的地址、限制發(fā)出查詢請求的客戶機地址等，降低攻擊者DNS欺騙成功的幾率。