DNS重新绑定攻击，通常也称为反DNS连锁攻击已经存在至少十年了，但是它们通常被人们遗忘，直到现在才引起人们的注意。在这种利用式攻击中，黑客可以在恶意网页中使用JavaScript，进而获得对受害者路由器的控制。

　　比如，一个用户可能被诱骗访问攻击者的网站，如果删除了默认路由器密码，黑客的JavaScript代码可能会导致用户的浏览器改变路由器管理页面中的详细信息。然后这些变动可能会允许黑客远程控制这台设备，并且最终控制用户的互联网通信。黑客也可以使用DNS重新绑定攻击访问某个网络的敏感数据或者通过这个连接发送垃圾邮件。

　　Web 2.0技术的出现，以及它所使用的浏览器插件可以在Web上提供越来越多的功能，再次产生漏洞使DNS重新绑定为可行的攻击。一般情况下，攻击方法演变为猫和老鼠的方式；随着攻击越来越成熟，应用程序代码相应地得到了强化。然而因为DNS重新绑定，平衡已经转向于有利于攻击的一面。

　　多针漏洞的出现

　　预防这种类型攻击的最初安全防范措施是固定DNS，这是一种浏览器的安全机制，可以将主机名存储到与其相关的IP地址中，直到该浏览器的窗口关闭，最终把某个单一的地址绑定到某一域。虽然，在先进的Web 2.0因特网技术出现之前，这个功能可以工作得很好，但是现在这不再是可行的解决方法。因为今天，XML、JavaScript、Java插件程序和Flash应用程序都在浏览器内部运行，都能够执行自己的DNS查找，并且可以执行自己的套接字级别的网络连接。每个套接字都有自己的来源——该浏览器可能来源于本地网络，而脚本可能来源于另一个网络。

　　现在，浏览器执行所谓的同源策略，同源策略是一种隔离不同的“来源”，保护站点以防相互影响的安全性能。但是通过使浏览器发生混乱，将受不同来源控制的网络资源进行分组，就可以破坏同源策略。插件程序和浏览器保存其各自的DNS针数据库，而这正是黑客可以利用的地方，这样他们可以创建一类新的漏洞，即众所周知的多针漏洞。从本质上讲，对于浏览器而言，本地网络和黑客的网络看起来是一样的；从作用上讲，黑客已经创建了一个开放代理器，可以访问本地局域网。

　　根据斯坦福大学关于DNS重新绑定攻击的报告，下面的资料是关于人们如何利用这些漏洞的：

　　攻击者可以利用浏览器和Java或者Flash插件程序之间的交互作用，将该浏览器绑定到某个IP地址，而将Java或Flash绑定到另一个IP地址，通常是在内部网络中。结果黑客可以直接在选择的主机和端口的插座上读取或者输入数据，可以再受到威胁的计算机用户帐户中获得安全环境下进行。

　　攻击者使用DNS重新绑定漏洞可以安装大量不同类型的攻击。一些攻击会直接要求访问套接层，比如Flash播放器和Java所提供的请求访问；其它攻击仅要求从攻击目标中读取HTTP响应。根据黑客的目标，普林斯顿大学的报告将攻击分为两大类：

　　1. 防火墙规避——防火墙后面的机器，比如某个企业内网服务器，一般不能访问因特网。DNS重新绑定使攻击者可以绕过防火墙，进入这些机器。使用直接的套接层访问，攻击者也可以与其它设备结合，这些设备只适用在HTTP协议范围之内或者高于HTTP协议的内部网络。比如，如果FTP在内部可用，那么攻击者可以获得对这个服务的访问，并且可以把敏感数据上传到自己的服务器上。利用这种攻击，犯罪分子可以针对某个金融机构，比如信用卡公司，获得帐户信息，上传这些信息，并且将信息出售给出价最高的人，这些人将这些信息用于身份盗窃。

　　2. IP劫持——在这种情况下，攻击者可以从客户的IP地址公开访问可用的服务器，利用攻击目标对客户IP地址的信任。比如，某个IT咨询公司的客户端防火墙可以配置为仅接受来自咨询网络IP范围之内的远程管理连接（我自己的公司所使用的安全功能）。如果攻击者劫持了这个范围内的某个IP地址，那么他就可以远程访问咨询客户端的任意防火墙和路由器。之前已经成功地利用防火墙规避攻击了这个咨询公司，黑客可能会发现这个银行远程管理界面的登录详细信息——这是决策方面的重大失误。然后攻击者就可以将其IP地址添加到访问控制列表之中，并引导信息流进入其服务器和网站。

　　防御DNS重新绑定

　　现在，至少有三种防御可以防御这些攻击。（随着对这种攻击的不断研究，很有可能开发出其它的防御措施。）第一种是阻止外部域名转化到内部地址之中。OpenDNS是一家提供的免费DNS服务公司，它提供简单的策略，帮助公司避免恶意网站的攻击。据首席执行官David Ulevitch称，通过在网络配置中使用OpenDNS服务器，并且将DNS服务器设置为208.67.222.222和208.67.220.220，公司就可以获得保护。这种OpenDNS过滤器旨在保护和防御用户受到恶意DNS的响应，这些响应可以转变到网络的主机内部。

　　虽然企业网络一般会使用内部DNS服务器地址，但是把DNS传送器指向OpenDNS，或者配置网关进而阻止那些转变到本地网络计算机中的地址，这些都比较简单。为此，OpenDNS和其它供应商都提供了Dnswall，这是一种后台程序，可以在DNS响应中过滤掉私人IP地址。为了保护网络免于受到DNS重新绑定攻击，这种设计是用来与现有的递归DNS解析相结合。Dnswall可以阻止外部名字转变到内部地址之中。

　　第二种方法是在没有得到允许时，阻止所有浏览器脚本的执行。在因特网浏览器中，可以通过禁用活动脚本实现。Firefox用户可以有更好的解决方法，以浏览器扩展的形式实施：NoScript。这种扩展只允许执行用户所允许网站的脚本内容和插件。

　　当然，最后，需要在路由器、交换器和其它任何可配置的设备上更改默认的密码。在可能的情况下，在用户帐户中以最小的权限运行，这样就可以完成工作。虽然，DNS重新绑定对你的网络安全可能是一个严重的威胁，但是执行一些简单的安全策略，就可以很容易阻止这个威胁。