DNS查询源可以被欺骗吗？

Question

如果您代表DNS服务器发送DNS请求，DNS服务器会回复欺骗地址吗？

我想问的不是DNS欺骗，而是伪造源地址。

Answer 1

这取决于所使用的底层协议。

通常经验法则是，建立连接或握手的网络协议不受源地址欺骗的影响。这是因为如果源地址被欺骗，那么连接就永远不会成功(因为被欺骗的目的地不知道如何响应)，就不会建立连接，只会发送一个初始握手包。关于一些例子：

1. IP地址不使用握手，容易受到源欺骗。
2. TCP (又名TCP/IP，建立在IP之上)确实使用握手，并且不受源地址欺骗的影响。
3. UDP是一种无连接协议，容易受到源地址欺骗的攻击.

“标准”DNS可以使用TCP/IP (h/t Patrick)或UDP。通常情况下，它默认为UDP，它没有连接，因此容易受到源地址欺骗的影响。这意味着，如果您向具有伪造地址的DNS服务器发送伪造的UDP数据包，DNS服务器应该将响应发送到伪造的源地址，而不是您。

然而，有较新的DNS“版本”推出，使用不同的基础协议。例如，DoH ( HTTPS上的DNS)使用HTTPS本身，这是建立在TCP/IP之上的。因此，您将无法使用DoH欺骗DNS服务器的源地址，原因与不能欺骗HTTP服务器的源地址的原因相同。同样，DNS的其他新变种是否容易受到此类攻击，取决于所使用的底层协议。