DNS欺骗或DNS缓存劫持

先决条件：域名服务器
在讨论DNS欺骗之前，首先先了解一下什么是DNS。
域名系统（DNS）它将人类可读的名称（例如 www.spoto.net）转换为数字形式的IP地址。DNS系统会响应一个或多个IP地址，您的计算机通过其中一个IP地址来访问网站（例如spoto.net）。
并不是只有一台DNS服务器。实际上，有大量的DNS服务器被用来解析域名。为了高效运作，DNS系统会利用缓存功能，这样就能快速引用之前已经完成的DNS查询结果，而无需再次进行相同的查询。
虽然DNS缓存能够提升域名解析过程的效率，但域名上的任何重大变化需要一天的时间才能在全球范围内得到反映。
DNS欺骗这意味着，当请求访问某个网站时，DNS服务器会返回错误的地址或IP地址。攻击者能够利用这些漏洞来操控DNS系统，从而将用户引导到恶意网站上。

在上面的图片中—— 

1. 请求转至真实网站：当用户点击某个特定网站的链接时，系统会向DNS服务器发送请求，以获取该网站的IP地址。
2. 注入虚假的DNS条目：黑客已经通过发现这些漏洞来控制DNS服务器，现在他们会在DNS服务器上添加虚假的条目。
3. 决心伪造网站：因为DNS服务器中的虚假条目会引导用户访问错误的网站。

为了防止DNS欺骗行为—— 
 

1. DNS安全扩展（DNSSEC）用于在DNS解析过程中增加一层安全保障，从而有效防范诸如DNS欺骗或DNS缓存污染等安全威胁。
2. DNSSEC通过数字方式对数据进行“签名”，从而有效防止此类攻击。这样一来，就可以确保数据的有效性。
3. 实施源认证：源认证可以用来验证DNS请求的来源是否合法。这可以通过使用IPsec或TLS等技术来实现，从而确保请求者身份的真实性与可靠性，同时防止在传输过程中数据被篡改。
4. 使用响应速率限制：响应速率限制（RRL）是一种用于限制DNS服务器对查询的响应速度的技术。通过这种方式，可以减少因单个查询而产生的响应数量，从而有效防止DNS放大攻击的发生。
5. 实施DNS过滤功能：DNS过滤可以用来阻止对已知恶意域名或IP地址的访问。这可以通过使用定期更新的DNS黑名单或白名单来实现，这些列表中包含着已知的恶意或合法域名。
6. 使用DNS监控与分析功能：通过DNS监控与分析，可以检测到可能表明存在DNS欺骗攻击的异常现象。这可以通过使用数据包捕获与分析、日志分析或实时监测DNS流量等技术来实现。
7. 定期更新DNS软件和补丁：定期更新DNS软件和补丁，有助于防止已知的漏洞被攻击者利用。这可以通过定期检查来自供应商的更新和补丁来实现，或者使用自动化的补丁管理工具来操作。