什么是dns劫持
什么是dns劫持
DNS劫持是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則返回假的IP地址或者什么都不做使請求失去響應(yīng),其效果就是對特定的網(wǎng)絡(luò)不能反應(yīng)或訪問的是假網(wǎng)址,一起和學(xué)習(xí)啦小編來看看什么是dns劫持吧!
dns劫持的基本原理
DNS(域名系統(tǒng))的作用是把網(wǎng)絡(luò)地址(域名,以一個字符串的形式)對應(yīng)到真實的計算機能夠識別的網(wǎng)絡(luò)地址(IP地址),以便計算機能夠進一步通信,傳遞網(wǎng)址和內(nèi)容等。由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址,高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址,則可以直接用此IP代替域名后進行訪問。比如訪問百度域名,可以把訪問改為202.108.22.5,從而繞開域名劫持 。
dns劫持的應(yīng)對方法
DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知,曾導(dǎo)致巴西最大銀行巴西銀行近1%客戶受到攻擊而導(dǎo)致賬戶被盜。黑客利用寬帶路由器的缺陷對用戶DNS進行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁面,其寬帶路由器的DNS就會被黑客篡改,因為該WEB頁面設(shè)有特別的惡意代碼,所以可以成功躲過安全軟件檢測,導(dǎo)致大量用戶被DNS釣魚詐騙。
由于一些未知原因,在極少數(shù)情況下自動修復(fù)不成功,建議您手動修改。同時,為了避免再次被攻擊,即使修復(fù)成功,用戶也可按照360或騰訊電腦管家提示的方法修改路由器的登錄用戶名和密碼。下面以用戶常用的TP-link路由器為例來說明修改方法(其他品牌路由器與該方法類似)。
手動修改DNS
1.在地址欄中輸入:http://192.168.1.1 (如果頁面不能顯示可嘗試輸入:http://192.168.0.1)
2.填寫您路由器的用戶名和密碼,點擊“確定”
3.在“DHCP服務(wù)器—DHCP”服務(wù)中,填寫主DNS服務(wù)器為百度提供的公共DNS服務(wù)IP地址:180.76.76.76,備用DNS服務(wù)器為DNSpond提供服務(wù)IP為119.29.29.29,點擊保存即可。
修改路由器密碼
1.在地址欄中輸入:http://192.168.1.1 (如果頁面不能顯示可嘗試輸入:http://192.168.0.1)
2.填寫您路由器的用戶名和密碼,路由器初始用戶名為admin,密碼也是admin,如果您修改過,則填寫修改后的用戶名和密碼,點擊“確定”
3.填寫正確后,會進入路由器密碼修改頁面,在系統(tǒng)工具——修改登錄口令頁面即可完成修改(原用戶名和口令和2中填寫的一致)
預(yù)防DNS劫持
其實,DNS劫持并不是什么新鮮事物,也并非無法預(yù)防,百度被黑事件的發(fā)生再次揭示了全球DNS體系的脆弱性,并說明互聯(lián)網(wǎng)廠商如果僅有針對自身信息系統(tǒng)的安全預(yù)案,就不足以快速應(yīng)對全面而復(fù)雜的威脅。因此,互聯(lián)網(wǎng)公司應(yīng)采取以下措施:
1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個以上的域名,一旦黑客進行DNS攻擊,用戶還可以訪問另一個域名。
2、互聯(lián)網(wǎng)應(yīng)該對應(yīng)急預(yù)案進行進一步修正,強化對域名服務(wù)商的協(xié)調(diào)流程。
3、域名注冊商和代理機構(gòu)特定時期可能成為集中攻擊目標(biāo),需要加以防范。
4、國內(nèi)有關(guān)機構(gòu)之間應(yīng)該快速建立與境外有關(guān)機構(gòu)的協(xié)調(diào)和溝通,協(xié)助國內(nèi)企業(yè)實現(xiàn)對此事件的快速及時的處理。
dns劫持的變種
上周百度搜索上線了一個非常重要的策略,如果發(fā)現(xiàn)有網(wǎng)站被植入惡意篡改用戶路由DNS的代碼時,就會攔截頁面,打出提示!據(jù)安全聯(lián)盟的統(tǒng)計發(fā)現(xiàn)過萬的網(wǎng)站被黑,植入了路由DNS劫持代碼,這個數(shù)量非常之大。
過去一段時間,知道創(chuàng)宇安全研究團隊就捕獲了至少5個變種。這類攻擊的模式一般是:
1.攻擊者黑下一批網(wǎng)站;
2.攻擊者往這批網(wǎng)站里植入路由DNS劫持代碼(各種變形);
3.攻擊者傳播或坐等目標(biāo)用戶訪問這批網(wǎng)站;
4.用戶訪問這些網(wǎng)站后,瀏覽器就會執(zhí)行“路由DNS劫持代碼”;
5.用戶的家庭/公司路由器如果存在漏洞就會中招;
6.用戶上網(wǎng)流量被“假DNS服務(wù)器”劫持,并出現(xiàn)奇怪的廣告等現(xiàn)象;
雖然這次攻擊主要針對Tp-Link路由器,不過中招的路由不僅TP-Link!對此安全聯(lián)盟推出DNS劫持專題[1] ,為網(wǎng)民及站長提供詳細解決方案。
看過“dns劫持應(yīng)對方法”的人還看了: