3) DNS欺騙

域名系統( Domain Name System，DNS)是互聯網中大量使用的基礎服務。TCP/IP協議使用網絡層地址（IP地址）定位一臺主機，而IP地址對于用戶是難以記憶的，因此用戶經常采用www.cisp.org.cn這樣的域名訪問主機，DNS的作用就是為用戶提供域名與IP地址自勺解析。域名是一個分布的數據庫系統，不同的域名分布在全球不同的域名服務器上。在實際應用中，DNS服務器對于自身無法解析的域名，會向其他DNS服務器查詢，并且為了提高效率，域名服務器會對已經查詢的結果進行緩存。攻擊者利用以上特點，通過偽造DNS應答在目標DNS服務器上生成錯誤的緩存數據，從而欺騙用戶訪問錯誤的服務器。這種攻擊就是DNS欺騙，也稱為DNS高速緩存污染。DNS欺騙的實現過程如下：

攻擊者向DNS服務器發送域名查詢請求，如果DNS服務器中無此域名的緩存信息，就會向其他DNS服務器進行查詢，此時攻擊者立即向DNS服務器發送偽造的DNS應答報文，告訴DNS艮務器WWW.Cisp.org.cn的IP地址為11.11.11.11，如果這個應答報文被接受，DNS服務器會將此應答報文的數據存人緩存中。攻擊者就成功的生成了一條錯誤的DNS記錄。當其他客戶機再向該DNS服務器查詢www.clsp.org.cn域名對應的IP地址時，DNS服-器會將緩存中的記錄WWW.C-1。p.o，g.cn<->ll.ll.ll.ll返回給查詢的客戶機，從而將客戶機導向錯誤的主機。

由于DNS緩存存在時間限制，DNS欺騙存在實效性，一旦超過緩存的有效時間，除非重新構造緩存中的記錄，否則DNS欺騙會自動失效。此外，與ARP欺騙不同，攻擊者不臺旨替換緩存中已經存在的記錄。

解決DNS欺騙最有效的方法是采用最新版本的DNS服務軟件，新版本的軟件在抵御DNS 欺騙方面更優于老版本軟件，也可以通過配置系統，如限制域名服務器做出響應的地址、限制發出查詢請求的客戶機地址等，降低攻擊者DNS欺騙成功的幾率。