DNS缓存投毒为何能在二十年间反复复活:从Kaminsky到SAD DNS的技术博弈
2011年11月,巴西数百万互联网用户在访问Google、Gmail、YouTube时被重定向到一个要求安装"Google Defence"软件的页面。这个所谓的安全软件实际上是一个银行木马。攻击者并未入侵Google的服务器——他们只是修改了几家ISP的DNS缓存记录。这个事件揭示了DNS缓存投毒攻击的恐怖之处:攻击者不需要攻破目标服务器,只需要欺骗DNS解析器。 ...
缓存投毒
Expires已死,Cache-Control永生:HTTP缓存头部的二十年演进史
2015年3月,一家北欧银行的服务器集群遭遇了诡异的问题:部分用户看到的是昨天的股票价格,而另一部分用户则完全无法加载页面。运维团队排查了数据库、应用服务器、负载均衡器,都没发现问题。最终发现,罪魁祸首是Expires头部中设置的过期时间戳。 ...
DNSSEC为何三十年未能普及一个被寄予厚望的安全协议的困境
2025年10月22日,互联网系统联盟(ISC)披露了一个影响BIND 9 DNS服务器的严重漏洞(CVE-2025-40778)。攻击者无需网络访问权限,即可向递归解析器的缓存中注入伪造的DNS记录,将用户流量重定向到恶意服务器。这是自2008年Kaminsky漏洞以来,DNS缓存投毒攻击再次成为头条新闻。 ...
DNS 缺乏身份验证的后果:为什么三十年前设计的协议至今仍在制造安全危机
1983年,Paul Mockapetris在RFC 882和883中定义了Domain Name System(DNS)。这个协议的核心目标简单明确:将人类可读的域名映射为机器可读的IP地址。在那个只有几百台联网主机的ARPANET时代,Mockapetris和他的同事们做了一个影响至今的设计决策——DNS查询和响应不需要任何形式的身份验证。 ...