CVE-2025-71058 漏洞总结 漏洞概述 该漏洞涉及 DNS 缓存投毒攻击,利用伪造的 DNS 响应包来欺骗目标解析器。攻击分为两个阶段: 1. 端口发现阶段:通过发送大量伪造的 DNS 响应包,探测目标解析器使用的源端口。 2. 目标投毒阶段:一旦确定了目标解析器的源端口,发送精心构造的伪造响应包,将恶意 IP 地址注入到目标解析器的缓存中。 影响范围 任何使用 UDP 协议进行 DNS 查询的解析器都可能受到此漏洞的影响。 攻击者可以利用此漏洞将用户重定向到恶意网站,导致数据泄露或其他安全风险。 修复方案 更新 DNS 解析器软件至最新版本,确保已应用相关安全补丁。 配置防火墙规则,限制对 DNS 服务的访问,仅允许受信任的 IP 地址进行查询。 启用 DNSSEC(DNS 安全扩展),以验证 DNS 响应的真实性和完整性。 POC 代码