3 min read660 words

常見 DNS 攻擊類型

DNS 是互聯網基礎設施，攻擊 DNS 往往能造成巨大破壞。了解攻擊類型是防禦的第一步。

主要 DNS 攻擊類型

原理： 攻擊者向遞歸解析器注入偽造的 DNS 記錄，讓其緩存假的 IP 地址。

正常：
用戶查詢 bank.com → DNS 返回真實 IP → 用戶訪問真實銀行網站
緩存投毒後：
用戶查詢 bank.com → 受感染的 DNS 返回假 IP → 用戶訪問釣魚網站

防禦： - DNSSEC（為 DNS 記錄添加數字簽名，驗證真實性） - 使用可信的遞歸解析器（Cloudflare 1.1.1.1、Google 8.8.8.8）

類型一：路由器 DNS 劫持

黑客入侵你的路由器，修改 DNS 服務器設置，把流量導向惡意 DNS。

類型二：ISP 劫持

部分 ISP 劫持 DNS 請求（用於廣告插入或審查），返回與實際記錄不同的結果。

類型三：域名注冊商帳號被盜

攻擊者入侵你的注冊商帳號，修改 NS 記錄，把整個域名的 DNS 控制權轉到攻擊者的 DNS。

防禦： - 保護注冊商帳號（強密碼 + 2FA） - 啟用 Domain Lock - 使用 DNSSEC - 使用 DNS over HTTPS（DoH）防止 ISP 監聽

原理： 攻擊者利用開放的 DNS 解析器，發送偽造源 IP 的請求，DNS 服務器的響應（通常比請求大 10-100 倍）全都發向受害者 IP。

攻擊者 → 開放 DNS 解析器（偽造源 IP = 受害者 IP）
DNS 服務器 → 受害者 IP（大量響應）
效果：攻擊者用 1Mbps 帶寬，製造 100Mbps 的攻擊流量

防禦： - 使用 Cloudflare（自動吸收 DDoS 流量） - 不要運行開放的 DNS 遞歸解析器

原理： 把數據隱藏在 DNS 請求和響應中，繞過防火牆進行通信（命令控制、數據外洩）。

正常 DNS 查詢：
example.com → IP
DNS 隧道：
aGVsbG8gd29ybGQ.attacker.com
← 域名中包含 Base64 編碼的數據

防禦： - DNS 流量監控 - 企業 DNS 過濾服務（Cisco Umbrella、Cloudflare Gateway）

原理： 大量查詢不存在的域名，耗盡 DNS 服務器資源。

防禦： - 速率限制 - Anycast 分散流量 - Cloudflare 自動處理

類型： - Typosquatting： 搶注打字錯誤版本（gooogle.com） - Combo squatting： 品牌名 + 詞（brandname-login.com） - 到期搶注： 盯著域名到期日，第一時間搶注

防禦： - 提前注冊常見拼寫錯誤版本 - 設置自動續費 - 監控品牌相關域名（Brand Monitoring 服務）

下一節：DNSSEC：DNS 的數字簽名——用密碼學保護 DNS 記錄的真實性。