继Twitter以后 Baidu也被伊朗网军黑掉了 所用技术“DNS cache poisoning”学习

就在Twitter被黑后的几个星期，Baidu也步其后尘，被名为 ““Iranian Cyber Army” 的伊朗黑组织给攻破了，相关的新闻可以查看如下链接：

 

http://thenextweb.com/asia/2010/01/12/breaking-baidu-hacked-iranian/

http://news.cnet.com/8301-1023_3-10418140-93.html

 

所采用的技术都是DNS cache poisoning （DNS缓存中毒） 或者叫做 DNS ache pollution （DNS缓存污染），也就是利用DNS服务器的缓存功能并利用DNS软件的漏洞对DNS服务器进行攻击，改变某个域名对应的IP地址到攻击者指定的IP地址或者域名，使用户对域名的请求转发到一个错误的IP地址。如果攻击者在用户转发到的服务器上放置恶意代码或者病毒，访问者的电脑就有可能下载或者执行这些代码。

 

一般来说，DNS服务器会使用缓存之前解析过的域名来提高域名解析的速度，所以当一个DNS服务器被攻击后，它缓存过的错误解析的IP地址也会提供给以后的解析请求，而且这个DSN服务器的下游服务器也会共享这个缓存而进行错误的域名解析。

 

一个简单的解释就是：

1. DNS server接收到一个请求： www.baidu.com对应的ip地址是什么？

2. DNS server得到一个答案： www.baidu.com对应的ip是127.0.0.1

如果DNS server没有对得到的答案进行校验，攻击者就有可能向baidu.com的DNS server发送假的响应，baidu的DNS server就会把这个假的响应当作真的，转发用户的请求并对这个答案进行缓存，所以以后的用户访问baidu.com的话就一样被转向到攻击者指定的ip了。