DNS 缓存中毒，带来的危害

DNS缓存中毒，也称为DNS欺骗，是一种利用域名系统（DNS）中的漏洞将攻击者从合法服务器转移到假冒系统的一种攻击。

DNS中毒如此危险的原因之一是因为它可以从 DNS 服务器传播到另一个 DNS服务器。

每当您的计算机访问像XXX.com这样的域名时，它必须首先联系其 DNS服务器。DNS 服务器响应一个或多个IP地址， 您的计算机才可以访问。然后您的计算机直接连接到该数字IP地址。DNS将可读取的地址（如XXX.com）转换为计算机可读的 IP 地址。

互联网不仅仅只有一个DNS服务器，因为这样非常低效。您的 Internet 服务提供商运行自己的DNS服务器，它还得从其他DNS服务器缓存信息。您的家庭路由器作为DNS 服务器，可以从ISP的DNS服务器缓存信息。您的计算机具有本地DNS缓存，因此可以快速引用已经执行的DNS查找，而不是重复执行DNS查找。

DNS缓存如果包含不正确的条目，可能会中毒。例如，如果攻击者获得对DNS服务器的控制权并更改了其中的一些信息。那么从XXX.com上实际返回的是指向攻击者拥有的IP地址，而攻击者的地址可能包含某种恶意病毒或钓鱼网站。

这样的DNS中毒也可以传播。如果各种互联网服务提供商从受感染的服务器获取其 DNS信息，则中毒的DNS条目将传播到互联网服务提供商的缓存。然后，当有人查找DNS 条目时，它将传播到其它其它家庭路由器和计算机上的DNS缓存，接收到不正确的响应并将其存储。造成下一次打开网站还是会指向错误的网址，或将感染新的一轮病毒攻击。

DNS缓存中毒的真正原因是没有确定您收到的DNS响应是真正合法还是被人操纵的。因此，DNS缓存中毒的长期解决方案是DNSSEC，全称是Name System Security&nbspExtensions（DNS 安全扩展），DNSSEC将允许组织使用公开密钥加密来签署其DNS记录，确保您的计算机将知道DNS记录是否应该被信任，或者是否被中毒，并重定向到正确的位置。