[记录]关于ESET提示dns缓存投毒的一些资料记录

关于如何去掉提示在后面给的地址里有提到,这里做部分资料的转载,做一下记录。

什么是DNS缓存投毒:

域名服务器缓存投毒(DNS Cache Poisoning),又名域名服务器缓存污染(DNS cache pollution),是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。一般来说,外间在互联网上一般都有可信赖的域名服务器,但为减免网络上的交通,一般的域名都会把外间的域名服务器数据暂存起来,待下次有其他机器要求解析域名时,可以立即提供服务。一但有关网域的局域域名服务器的缓存受到污染,就会把网域内的电脑导引往错误的服务器或服务器的网址。

一般来说,一部连上了互联网的电脑都会使用互联网服务提供商(ISP)提供的域名服务器。这个服务器一般只会为供应商的客户来服务,通常都会储蓄起部分客户曾经请求过的域名的缓存。缓存污染攻击就是针对这一种服务器,以影响服务器的用户或下游服务。

为什么会受到缓存投毒攻击:

在中国大陆,对于所有经过防火长城的在UDP的53端口上的域名查询进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,其会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查询通常基于的UDP协议是无连接不可靠的协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。

对于不了解相关知识的网民来说也就是,由于系统默认使用的ISP提供的域名查询服务器查询国外的权威服务器时即被防火长城被污染,使其缓存受到污染,因而默认情况下查询ISP的服务器就会获得虚假IP地址;而用户直接查询境外域名查询服务器(比如 Google Public DNS)有可能会被防火长城污染,从而在没有任何防范机制的情况下仍然不能获得目标网站正确的IP地址。

防火长城暂时未对TCP协议下的域名查询进行投毒污染,故现在能通过强制使用TCP协议查询真实的IP地址:Windows下打开命令提示符,输入nslookup -vc 要查询的域名 境外DNS服务器的IP地址(必须支持TCP协议查询,否则不会返回查询结果),回车后能返回正确的目标服务器IP地址。而现实的情况是,防火长城对于真实的IP地址也可能会采取其它的手段进行封锁,故能否真正访问可能还需要其它翻墙的手段。

如何解决NOD32不停提示DNS缓存投毒的提示窗口:

解决办法:打开高级设置,在左侧树状菜单中点选:网络个人防火墙IDS和高级选项,在IDS和高级选项中,取消入侵检测“攻击检测之后显示通知”的勾选。

 

这里是原文地址,感谢作者。

 

» 本文链接地址:https://www.xidige.com/305

打开支付宝扫一扫,即可进行扫码打赏哦

扫码支持
扫码打赏,你说多少就多少

标签:

分享到:

扫一扫 在手机阅读、分享本文

上一篇: 下一篇:
评论区0人评论136人参与

电子邮件地址不会被公开。 必填项已用*标注

*

loading

赞助商广告