[[267868]]

DNS劫持后果

大規(guī)模的DNS劫持，其結(jié)果往往是斷網(wǎng)，因?yàn)榇缶W(wǎng)站的訪問量實(shí)在太大了，釣魚網(wǎng)站的服務(wù)器可能會扛不住大流量的訪問，瞬間就會癱瘓掉，網(wǎng)民看到的結(jié)果就是網(wǎng)頁打不開。

網(wǎng)上購物,網(wǎng)上支付有可能會被惡意指向別的網(wǎng)站，更加加大了個人賬戶泄密的風(fēng)險(xiǎn)。

網(wǎng)站內(nèi)出現(xiàn)惡意廣告。

輕則影響網(wǎng)速，重則不能上網(wǎng)。‍

DNS劫持方法

方式一：利用DNS服務(wù)器進(jìn)行DDOS攻擊

正常的DNS服務(wù)器遞歸詢問過程可能被利用成DDOS攻擊。

假設(shè)攻擊者已知被攻擊機(jī)器IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后，DNS服務(wù)器響應(yīng)給最初用戶，而這個用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復(fù)的進(jìn)行如上操作，那么被攻擊者就會受到來自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊，下為攻擊原理。

遞歸DNS獲得了某域名的IP地址后，把所有信息都回復(fù)給源地址，而此時(shí)的源地址就是被攻擊者的IP地址了。如果攻擊者擁有著足夠多的肉雞群，那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。

利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是，攻擊者由于沒直接與被攻擊主機(jī)進(jìn)行通訊，隱匿了自己行蹤，讓受害者難以追查原始的攻擊來源。相對比較好的解決辦法就是可取消DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能。

方式二：DNS緩存感染

攻擊者使用DNS請求，將數(shù)據(jù)放入一個具有漏洞的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會在客戶進(jìn)行DNS訪問時(shí)返回給用戶，從而把用戶客戶對正常域名的訪問引導(dǎo)到入侵者所設(shè)置掛馬、釣魚等頁面上，或者通過偽造的郵件和其他的server服務(wù)獲取用戶口令信息，導(dǎo)致客戶遭遇進(jìn)一步的侵害。 

方式三：DNS信息劫持

原則上TCP/IP體系通過序列號等多種方式避免仿冒數(shù)據(jù)的插入，但入侵者如果通過監(jiān)聽客戶端和DNS服務(wù)器的對話，就可以猜測服務(wù)器響應(yīng)給客戶端的DNS查詢ID。

每個DNS報(bào)文包括一個相關(guān)聯(lián)的16位ID號，DNS服務(wù)器根據(jù)這個ID號獲取請求源位置。

攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個域名服務(wù)器的域名解析請求的數(shù)據(jù)包被截獲，然后按截獲者的意圖將一個虛假的IP地址作為應(yīng)答信息返回給請求者。這時(shí)，原始請求者就會把這個虛假的IP地址作為它所要請求的域名而進(jìn)行連接，顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。

方式四：DNS重定向

攻擊者如果將DNS名稱查詢重定向到惡意DNS服務(wù)器。那么被劫持域名的解析就完全置于攻擊者的控制之下。

網(wǎng)絡(luò)安全就是這樣子：不出事，說你沒啥用;出事了才慌里慌張……就像橋上的欄桿，平時(shí)也沒幾個人扶，但少了還真的不行。網(wǎng)絡(luò)安全也有點(diǎn)像賣保險(xiǎn)，不出事都好……最后：安全，來自未雨綢繆。

DNS域名解析過程

1.輸入網(wǎng)址

2.電腦發(fā)出一個DNS請求到本地DNS服務(wù)器(本地DNS服務(wù)器一般由網(wǎng)絡(luò)接入商提供，中國移動、電信等)

3.本地服務(wù)器查詢緩存記錄，有則直接返回結(jié)果。沒有則向DNS根服務(wù)器進(jìn)行查詢。(根服務(wù)器沒有記錄具體的域名和IP地址對應(yīng)的關(guān)系)

4.告訴本地DNS服務(wù)器域服務(wù)器地址(此處為.com)

5.本地服務(wù)器向域服務(wù)器發(fā)出請求

6.域服務(wù)器告訴本地DNS服務(wù)器域名的解析服務(wù)器的地址

7.本地服務(wù)器向解析服務(wù)器發(fā)出請求

8.收到域名和IP地址的對應(yīng)關(guān)系

9.本地服務(wù)器把IP地址發(fā)給用戶電腦，并保存對應(yīng)關(guān)系，以備下次查詢

DNS，域名系統(tǒng)，是互聯(lián)網(wǎng)上作為域名和IP地址相互映射的一個分布式數(shù)據(jù)庫。

DNS的記錄類型

域名與IP之間的對應(yīng)關(guān)系，稱為"記錄"(record)。根據(jù)使用場景，"記錄"可以分成不同的類型(type)，前面已經(jīng)看到了有A記錄和NS記錄。

常見的DNS記錄類型如下：

A

地址記錄(Address)，返回域名指向的IP地址。

NS

域名服務(wù)器記錄(Name Server)，返回保存下一級域名信息的服務(wù)器地址。該記錄只能設(shè)置為域名，不能設(shè)置為IP地址。

MX

郵件記錄(Mail eXchange)，返回接收電子郵件的服務(wù)器地址。

CNAME

規(guī)范名稱記錄(Canonical Name)，返回另一個域名，即當(dāng)前查詢的域名是另一個域名的跳轉(zhuǎn)，詳見下文。

PTR

逆向查詢記錄(Pointer Record)，只用于從IP地址查詢域名。

一般來說，為了服務(wù)的安全可靠，至少應(yīng)該有兩條NS 記錄，而A記錄和MX記錄。

如何防止DNS劫持

1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個以上的域名，一旦黑客進(jìn)行DNS攻擊，用戶還可以訪問另一個域名。

2、手動修改DNS：

在地址欄中輸入：http：//192.168.1.1 (如果頁面不能顯示可嘗試輸入：http：//192.168.0.1)。

填寫您路由器的用戶名和密碼，點(diǎn)擊“確定”。

在“DHCP服務(wù)器—DHCP”服務(wù)中，填寫主DNS服務(wù)器為更可靠的114.114.114.114地址，備用DNS服務(wù)器為8.8.8.8，點(diǎn)擊保存即可。

3、修改路由器密碼：

在地址欄中輸入：http：//192.168.1.1 (如果頁面不能顯示可嘗試輸入：http：//192.168.0.1)

填寫您路由器的用戶名和密碼，路由器初始用戶名為admin，密碼也是admin，如果您修改過，則填寫修改后的用戶名和密碼，點(diǎn)擊“確定”

填寫正確后，會進(jìn)入路由器密碼修改頁面，在系統(tǒng)工具——修改登錄口令頁面即可完成修改(原用戶名和口令和2中填寫的一致)

歷史著名DNS劫持案例

新浪：DNS服務(wù)器出現(xiàn)域名無法解析故障

2012年1月30日，正值春節(jié)之后的工作日，新浪網(wǎng)卻慘遭訪問故障，部分地區(qū)出現(xiàn)無法訪問的情況，聯(lián)通用戶影響尤為嚴(yán)重。根據(jù)新浪官方聲明，正是因?yàn)镈NS服務(wù)器出現(xiàn)域名無法解析故障所致。該次故障持續(xù)時(shí)間較短，但鑒于新浪在國內(nèi)的影響力，所以本次事件不得不提。