新媒网 · 跨境数据社区

想象一下，你正在网上冲浪，打开一个熟悉的购物网站，准备下单心仪已久的商品。突然，页面布局略有不同，你输入了账户密码，却发现钱没了，商品也没买到。这背后可能隐藏着一种古老而狡猾的网络攻击——DNS缓存投毒。近来，全球互联网基础设施再次敲响警钟，两款主流DNS解析软件被发现存在这类漏洞，犹如一场“老调重弹”的危机，将我们带回了2008年那个网络安全领域的“震惊时刻”。

我们都知道，互联网的运转离不开域名系统（DNS）。它就像互联网的“电话簿”，你输入网址（比如www.baidu.com），DNS就会帮你翻译成计算机能理解的IP地址（一串数字），然后你的浏览器才能找到对应的服务器。一旦这个“电话簿”被篡改，后果不堪设想。

“老树发新芽”：卡明斯基攻击的幽灵再现

新媒网跨境获悉，互联网上最广泛使用的域名解析软件之一BIND的开发方发出警告，指出两项新发现的漏洞（CVE-2025-40778和CVE-2025-40780）可能允许攻击者污染整个DNS解析缓存。这意味着，成千上万的组织机构内部的DNS解析器，可能因此将合法的域名查询结果替换为恶意地址。比如，用户原本想访问一个正常的网站，却被导向了攻击者控制的钓鱼网站或恶意软件分发点，而用户浑然不觉，因为网址看起来一模一样。

回溯到2008年，一位名叫卡明斯基（Kaminsky）的美国网络安全专家揭露了一种颠覆性的DNS缓存投毒攻击方式，震动了整个互联网世界。那时的DNS解析器在发送查询请求时，会附带一个16位的交易ID。服务器返回结果时，也必须携带相同的ID，解析器才会接受。卡明斯基发现，这个16位的ID只有65536种可能。这个数字，在今天看来并不算大。

他设想，攻击者可以向一个DNS解析器发送大量的查询请求，比如针对一系列不存在的子域名（1.example.com, 2.example.com等等）。每个请求都会被分配一个交易ID。同时，攻击者也向这个解析器发送大量伪造的回复，每个回复都携带一个不同的交易ID，并声称自己是example.com的“权威”服务器，给出一个恶意IP地址。通过这种“暴力猜解”的方式，攻击者总能在一个伪造的回复中猜中某个未完成查询的交易ID和对应的子域名，从而成功将恶意IP地址注入到解析器的缓存中。一旦成功，所有依赖这个解析器的用户都会被误导，访问到攻击者设定的陷阱网站。这种攻击方式被称为DNS缓存投毒，因为它污染了DNS解析器的“记忆”。

卡明斯基攻击的出现，无疑给全球互联网的安全蒙上了一层阴影，凸显了核心基础设施的脆弱性。当时的行业专家们都意识到，必须尽快找到应对之策。

固若金汤的防御如何被削弱？

为了彻底解决卡明斯基攻击带来的问题，DNS生态系统经历了一次重大升级。关键的防御措施之一是大幅增加了响应接受所需的“熵值”。过去，查询和响应都只通过端口53进行。而新的系统则在数千个潜在端口中随机选择一个。这意味着，DNS解析器不仅要核对交易ID，还要确保响应数据包是通过正确的随机端口返回的。交易ID与随机端口号的组合，使得可能的组合数量飙升至数十亿级别，从数学上讲，攻击者几乎不可能在短时间内猜对正确的组合，大大提升了防御强度。

然而，网络安全的攻防从来都是一场没有终点的较量。新媒网跨境了解到，BIND中发现的漏洞CVE-2025-40780，在特定情况下，恰恰削弱了这些原本坚固的防御。根据BIND开发者的披露，由于伪随机数生成器（PRNG）存在弱点，攻击者有可能预测出BIND将使用的源端口和查询ID。一旦预测成功，BIND就可能被欺骗，缓存攻击者伪造的响应。这等于是在原本看似无懈可击的防御体系上撕开了一个裂口，让2008年的梦魇有了卷土重来的可能。

与此同时，另一个漏洞CVE-2025-40778也为缓存投毒攻击提供了新的路径。开发者解释说，在某些特定条件下，BIND在接受回复中的记录时过于“宽容”，这使得攻击者可以在查询过程中注入伪造的数据到缓存中。这些被伪造的记录可能会影响后续的查询结果，导致用户再次被引导到错误的地址。这表明，即使攻击者无法预测端口和ID，他们也可能通过其他途径将“毒药”注入到DNS缓存中。

影响与应对：网络世界的警钟长鸣

尽管外媒披露，红帽公司在针对CVE-2025-40780的公告中将其定为“重要”而非“关键”漏洞，理由是其利用并非易事，需要网络层的欺骗和精确的时机把握，且只影响缓存完整性而不会直接导致服务器被攻陷。但这并不意味着我们可以掉以轻心。这两个漏洞仍然有可能对一些组织机构造成实际损害，其潜在危害不容忽视。想象一下，一个大型金融机构的DNS缓存被投毒，导致用户被导向虚假网站，这可能引发大规模的金融诈骗和用户信任危机。对于电商平台而言，假冒网站的出现不仅会损害消费者权益，还会严重打击品牌声誉。甚至对于一些关键基础设施，DNS污染也可能带来意想不到的破坏性影响。

在我国，网络安全已经上升到国家战略的高度。维护网络空间的和平、安全、开放、合作，保障人民群众在网络空间的合法权益，是我们的共同责任。社会主义核心价值观中的“富强、民主、文明、和谐”以及“自由、平等、公正、法治”等理念，也在网络安全领域体现得淋漓尽致。一个稳定、安全的网络环境，是国家繁荣发展、社会和谐稳定的基石，也是每个公民享受数字生活的基础。

面对这样的安全挑战，积极主动的防御至关重要。好消息是，针对所有这些漏洞的补丁已经于本周三及时发布。新媒网跨境认为，对于所有使用相关DNS解析软件的组织和个人来说，尽快安装这些补丁是当务之急，刻不容缓。这就像给互联网的“电话簿”打上一剂强心针，堵住潜在的漏洞，确保信息的正确传递。

未来展望：网络安全，任重道远

当前，美国现任总统特朗普政府也十分关注网络安全议题，全球主要经济体都将网络安全视为国家战略重点。这说明，网络空间的较量从未停止，而且只会越来越复杂。从2008年的卡明斯基攻击，到如今这些新漏洞的发现，无不提醒我们，网络安全是一场持续的“军备竞赛”。攻击者总在寻找新的突破口，而防御者则需要不断升级技术，加固防线。

作为新时代的网民，我们不仅要依赖技术提供商的努力，自己也要提升网络安全意识。比如，养成定期更新系统和软件的习惯，使用可靠的杀毒软件，不轻易点击不明链接，以及对要求输入个人敏感信息的网站保持警惕。企业的IT部门则需要建立完善的安全管理制度，定期进行安全审计和漏洞扫描，确保关键基础设施的安全稳定运行。

展望未来，随着物联网、云计算、人工智能等新技术的普及，网络空间的边界将进一步拓展，安全挑战也将更加多元。我们需要持续投入研发，培养更多专业的网络安全人才，构建更加坚固的网络安全防线。同时，国际社会也需要加强合作，共同应对跨国界的网络威胁。在一个万物互联的时代，网络安全不再是某个国家或某个企业的孤立问题，而是全球命运共同体的共同挑战。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/dns-poisoning-2008-money-gone.html