DNS域名劫持的幾種方式(以及解決方法)

2023-07-26    分類(lèi): 網(wǎng)站建設(shè)

什么是DNS劫持,DNS劫持又稱(chēng)域名劫持,是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求,分析請(qǐng)求的域名,把審查范圍以外的請(qǐng)求放行,否則返回假的IP地址或者什么都不做使請(qǐng)求失去響應(yīng),其效果就是對(duì)特定的網(wǎng)絡(luò)不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址。下面創(chuàng)新互聯(lián)服務(wù)器托管一起來(lái)了解下,以下是內(nèi)容詳情:服務(wù)器托管

DNS劫持癥狀

在某些地區(qū)的用戶在成功連接寬帶后,首次打開(kāi)任何頁(yè)面都指向ISP提供的“電信互聯(lián)星空”、“網(wǎng)通黃頁(yè)廣告”等內(nèi)容頁(yè)面。這些都屬于DNS劫持。

DNS劫持原理

DNS(域名系統(tǒng))的作用是把網(wǎng)絡(luò)地址(域名,以一個(gè)字符串的形式)對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址(IP地址),以便計(jì)算機(jī)能夠進(jìn)一步通信,傳遞網(wǎng)址和內(nèi)容等。由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址,高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

DNS域名解析過(guò)程

1.輸入網(wǎng)址

2.電腦發(fā)出一個(gè)DNS請(qǐng)求到本地DNS服務(wù)器(本地DNS服務(wù)器一般由網(wǎng)絡(luò)接入商提供,中國(guó)移動(dòng)、電信等)

3.本地服務(wù)器查詢緩存記錄,有則直接返回結(jié)果。沒(méi)有則向DNS根服務(wù)器進(jìn)行查詢。(根服務(wù)器沒(méi)有記錄具體的域名和IP地址對(duì)應(yīng)的關(guān)系)

4.告訴本地DNS服務(wù)器域服務(wù)器地址(此處為.com)

5.本地服務(wù)器向域服務(wù)器發(fā)出請(qǐng)求

6.域服務(wù)器告訴本地DNS服務(wù)器域名的解析服務(wù)器的地址

7.本地服務(wù)器向解析服務(wù)器發(fā)出請(qǐng)求

8.收到域名和IP地址的對(duì)應(yīng)關(guān)系

9.本地服務(wù)器把IP地址發(fā)給用戶電腦,并保存對(duì)應(yīng)關(guān)系,以備下次查詢

DNS,域名系統(tǒng),是互聯(lián)網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)。

DNS的記錄類(lèi)型

域名與IP之間的對(duì)應(yīng)關(guān)系,稱(chēng)為”記錄”(record)。根據(jù)使用場(chǎng)景,”記錄”可以分成不同的類(lèi)型(type),前面已經(jīng)看到了有A記錄和NS記錄。

常見(jiàn)的DNS記錄類(lèi)型如下:

A

地址記錄(Address),返回域名指向的IP地址。

NS

域名服務(wù)器記錄(Name Server),返回保存下一級(jí)域名信息的服務(wù)器地址。該記錄只能設(shè)置為域名,不能設(shè)置為IP地址。

MX

郵件記錄(Mail eXchange),返回接收電子郵件的服務(wù)器地址。

CNAME

規(guī)范名稱(chēng)記錄(Canonical Name),返回另一個(gè)域名,即當(dāng)前查詢的域名是另一個(gè)域名的跳轉(zhuǎn),詳見(jiàn)下文。

PTR

逆向查詢記錄(Pointer Record),只用于從IP地址查詢域名。

一般來(lái)說(shuō),為了服務(wù)的安全可靠,至少應(yīng)該有兩條NS 記錄,而A記錄和MX記錄

DNS劫持后果

大規(guī)模的DNS劫持,其結(jié)果往往是斷網(wǎng),因?yàn)榇缶W(wǎng)站的訪問(wèn)量實(shí)在太大了,釣魚(yú)網(wǎng)站的服務(wù)器可能會(huì)扛不住大流量的訪問(wèn),瞬間就會(huì)癱瘓掉,網(wǎng)民看到的結(jié)果就是網(wǎng)頁(yè)打不開(kāi)。

網(wǎng)上購(gòu)物,網(wǎng)上支付有可能會(huì)被惡意指向別的網(wǎng)站,更加加大了個(gè)人賬戶泄密的風(fēng)險(xiǎn)。

網(wǎng)站內(nèi)出現(xiàn)惡意廣告。

輕則影響網(wǎng)速,重則不能上網(wǎng)。?

DNS劫持方法

方式一:利用DNS服務(wù)器進(jìn)行DDOS攻擊

正常的DNS服務(wù)器遞歸詢問(wèn)過(guò)程可能被利用成DDOS攻擊。

假設(shè)攻擊者已知被攻擊機(jī)器IP地址,然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后,DNS服務(wù)器響應(yīng)給最初用戶,而這個(gè)用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞,反復(fù)的進(jìn)行如上操作,那么被攻擊者就會(huì)受到來(lái)自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊,下為攻擊原理。

攻擊者發(fā)送控制信號(hào)給肉雞群機(jī)器。肉雞群機(jī)器針對(duì)這個(gè)遞歸DNS不斷的執(zhí)行這條記錄的查詢。本地的DNS服務(wù)器首先在它的本地表(或緩存)中進(jìn)行查找”查找”www.idcbest.com”,如果找到將其返回客戶端,如果沒(méi)有發(fā)現(xiàn),那么DNS服務(wù)器發(fā)送一個(gè)查詢給根服務(wù)器,來(lái)查詢”www.idcbest.com”的IP地址。

根服務(wù)器收到訊息(信息)后會(huì)回應(yīng)”www.idcbest.com””頂級(jí)域(TLD)服務(wù)器的地址。然后由本地的DNS服務(wù)器聯(lián)系頂級(jí)域名(TLD)服務(wù)器來(lái)確定”確定”www.idcbest.com”的IP地址。

頂級(jí)域(TLD)服務(wù)器會(huì)回應(yīng)針對(duì)“www.idcbest.com”的名稱(chēng)的服務(wù)器地址。本地DNS服務(wù)器聯(lián)系得到的”www.idcbest.com”的名稱(chēng)服務(wù)器來(lái)確定它的IP地址。

遞歸DNS獲得了某域名的IP地址后,把所有信息都回復(fù)給源地址,而此時(shí)的源地址就是被攻擊者的IP地址了。如果攻擊者擁有著足夠多的肉雞群,那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。

利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是,攻擊者由于沒(méi)直接與被攻擊主機(jī)進(jìn)行通訊,隱匿了自己行蹤,讓受害者難以追查原始的攻擊來(lái)源。相對(duì)比較好的解決辦法就是可取消DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能。

方式二:DNS緩存感染

攻擊者使用DNS請(qǐng)求,將數(shù)據(jù)放入一個(gè)具有漏洞的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問(wèn)時(shí)返回給用戶,從而把用戶客戶對(duì)正常域名的訪問(wèn)引導(dǎo)到入侵者所設(shè)置掛馬、釣魚(yú)等頁(yè)面上,或者通過(guò)偽造的郵件和其他的server服務(wù)獲取用戶口令信息,導(dǎo)致客戶遭遇進(jìn)一步的侵害。

方式三:DNS信息劫持

原則上TCP/IP體系通過(guò)序列號(hào)等多種方式避免仿冒數(shù)據(jù)的插入,但入侵者如果通過(guò)監(jiān)聽(tīng)客戶端和DNS服務(wù)器的對(duì)話,就可以猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID。

每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào),DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置。

攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶,從而欺騙客戶端去訪問(wèn)惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個(gè)域名服務(wù)器的域名解析請(qǐng)求的數(shù)據(jù)包被截獲,然后按截獲者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者。這時(shí),原始請(qǐng)求者就會(huì)把這個(gè)虛假的IP地址作為它所要請(qǐng)求的域名而進(jìn)行連接,顯然它被欺騙到了別處而根本連接不上自己想要連接的那個(gè)域名。

方式四:DNS重定向

攻擊者如果將DNS名稱(chēng)查詢重定向到惡意DNS服務(wù)器。那么被劫持域名的解析就完全置于攻擊者的控制之下。

方式五:ARP欺騙

ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)”ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP欺騙通常是在用戶局網(wǎng)中,造成用戶訪問(wèn)域名的錯(cuò)誤指向,但在IDC機(jī)房被入侵后,則也可能出現(xiàn)攻擊者采用ARP包壓制正常主機(jī)、或者壓制DNS服務(wù)器,而李代桃僵,以使訪問(wèn)導(dǎo)向錯(cuò)誤指向的情況。

方式六:本機(jī)劫持

在計(jì)算機(jī)系統(tǒng)被木馬或流氓軟件感染后可能會(huì)出現(xiàn)部分域名的訪問(wèn)異常,如訪問(wèn)掛馬或者釣魚(yú)站點(diǎn)、無(wú)法訪問(wèn)等情況,本機(jī)劫持有hosts文件篡改、本機(jī)DNS劫持、SPI鏈注入、BHO插件等方式,雖然并非都通過(guò)DNS環(huán)節(jié)完成,但都會(huì)造成無(wú)法按照用戶意愿獲得正確的地址或者內(nèi)容的后果。

如何防止DNS劫持

1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個(gè)以上的域名,一旦黑客進(jìn)行DNS攻擊,用戶還可以訪問(wèn)另一個(gè)域名。

2、手動(dòng)修改DNS:

在地址欄中輸入:http://192.168.1.1 (如果頁(yè)面不能顯示可嘗試輸入:http://192.168.0.1)。

填寫(xiě)您路由器的用戶名和密碼,點(diǎn)擊“確定”。

在“DHCP服務(wù)器—DHCP”服務(wù)中,填寫(xiě)主DNS服務(wù)器為更可靠的114.114.114.114地址,備用DNS服務(wù)器為8.8.8.8,點(diǎn)擊保存即可。

3、修改路由器密碼:

在地址欄中輸入:http://192.168.1.1 (如果頁(yè)面不能顯示可嘗試輸入:http://192.168.0.1)

填寫(xiě)您路由器的用戶名和密碼,路由器初始用戶名為admin,密碼也是admin,如果您修改過(guò),則填寫(xiě)修改后的用戶名和密碼,點(diǎn)擊“確定”

填寫(xiě)正確后,會(huì)進(jìn)入路由器密碼修改頁(yè)面,在系統(tǒng)工具——修改登錄口令頁(yè)面即可完成修改(原用戶名和口令和2中填寫(xiě)的一致)

歷史著名DNS劫持案例

新浪:DNS服務(wù)器出現(xiàn)域名無(wú)法解析故障

2012年1月30日,正值春節(jié)之后的工作日,新浪網(wǎng)卻慘遭訪問(wèn)故障,部分地區(qū)出現(xiàn)無(wú)法訪問(wèn)的情況,聯(lián)通用戶影響尤為嚴(yán)重。根據(jù)新浪官方聲明,正是因?yàn)镈NS服務(wù)器出現(xiàn)域名無(wú)法解析故障所致。該次故障持續(xù)時(shí)間較短,但鑒于新浪在國(guó)內(nèi)的影響力,所以本次事件不得不提。

某知名CDN服務(wù)商:DNS故障致多家知名網(wǎng)站斷線時(shí)間超一小時(shí)

2013年1月27日,某知名CDN服務(wù)商DNS故障導(dǎo)致不少大客戶斷線時(shí)間超過(guò)一小時(shí),包括163、騰訊、鳳凰網(wǎng)、百度、多玩、m1905、樂(lè)視網(wǎng)以及12306在內(nèi)的知名網(wǎng)站在部分地區(qū)的訪問(wèn)受到影響。官方稱(chēng)是技術(shù)升級(jí)中一模塊故障導(dǎo)致,但有消息指出,真正的原因是系統(tǒng)故障,因公司年會(huì)無(wú)人監(jiān)控導(dǎo)致應(yīng)急處理速度降低。

.CN域名:“遭攻擊”致大面積癱瘓

2013年8月25日,.cn域名解析節(jié)點(diǎn)受到拒絕服務(wù)攻擊,受到影響的包括新浪微博客戶端及一些.cn網(wǎng)站。根據(jù)DNSPod的監(jiān)控顯示,CN的根域授權(quán)DNS全線故障,所有CN域名均無(wú)法解析。

創(chuàng)新互聯(lián)是國(guó)內(nèi)較早的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商,累計(jì)現(xiàn)在全國(guó)30多個(gè)數(shù)據(jù)中心資源,阿里云、百度云、騰訊云、中國(guó)西部信息中心、成都電信機(jī)房、綿陽(yáng)電信機(jī)房重慶服務(wù)器數(shù)據(jù)中心。在成都、重慶、綿陽(yáng)均有服務(wù)團(tuán)隊(duì)。

我司目標(biāo)是建設(shè)成為中國(guó)的網(wǎng)絡(luò)平臺(tái)服務(wù)提供商,并為這目標(biāo)的實(shí)現(xiàn)制定了可持續(xù)的企業(yè)發(fā)展綱略,組建了具有豐富網(wǎng)絡(luò)從業(yè)經(jīng)驗(yàn)的現(xiàn)代型企業(yè)團(tuán)隊(duì),主要向國(guó)內(nèi)外用戶提供包括、服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、帶寬租用、云服務(wù)器等方面的專(zhuān)業(yè)網(wǎng)絡(luò)服務(wù)。創(chuàng)新互聯(lián)基于成都重慶香港及美國(guó)等地區(qū)分布式IDC機(jī)房數(shù)據(jù)中心構(gòu)建的電信大帶寬,聯(lián)通大帶寬,移動(dòng)大帶寬,多線BGP大帶寬租用,是為眾多客戶提供專(zhuān)業(yè)服務(wù)器托管報(bào)價(jià),主機(jī)托管價(jià)格性價(jià)比高,為金融證券行業(yè)服務(wù)器托管,ai人工智能服務(wù)器托管提供bgp線路100M獨(dú)享,G口帶寬及機(jī)柜租用的專(zhuān)業(yè)成都idc公司。

以上就是“DNS域名劫持的幾種方式(以及解決方法)”的全部?jī)?nèi)容,如果大家想咨詢服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、帶寬租用、云服務(wù)器等相關(guān)價(jià)格,敬請(qǐng)關(guān)注我們創(chuàng)新互聯(lián)官網(wǎng)(muchs.cn),或者加微信/電話聯(lián)系:13518219792 進(jìn)行咨詢。

文章題目:DNS域名劫持的幾種方式(以及解決方法)
網(wǎng)頁(yè)鏈接:http://muchs.cn/news/274574.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)建站、用戶體驗(yàn)、網(wǎng)站維護(hù)網(wǎng)站內(nèi)鏈、標(biāo)簽優(yōu)化、App設(shè)計(jì)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)