常見(jiàn)的DNS域名劫持方式及解決方法

時(shí)間：2023-02-08 21:12:01 | 來(lái)源：建站知識(shí)

時(shí)間：2023-02-08 21:12:01 來(lái)源：建站知識(shí)

DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則返回假的IP地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址。

DNS劫持方法

方式一：利用DNS服務(wù)器進(jìn)行DDOS攻擊

正常的DNS服務(wù)器遞歸詢問(wèn)過(guò)程可能被利用成DDOS攻擊。假設(shè)攻擊者已知被攻擊機(jī)器IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后，DNS服務(wù)器響應(yīng)給最初用戶，而這個(gè)用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復(fù)的進(jìn)行如上操作，那么被攻擊者就會(huì)受到來(lái)自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊。

方式二：DNS緩存感染

攻擊者使用DNS請(qǐng)求，將數(shù)據(jù)放入一個(gè)具有漏洞的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問(wèn)時(shí)返回給用戶，從而把用戶客戶對(duì)正常域名的訪問(wèn)引導(dǎo)到入侵者所設(shè)置掛馬、釣魚(yú)等頁(yè)面上，或者通過(guò)偽造的郵件和其他的server服務(wù)獲取用戶口令信息，導(dǎo)致客戶遭遇進(jìn)一步的侵害。

方式三：DNS信息劫持

原則上TCP/IP體系通過(guò)序列號(hào)等多種方式避免仿冒數(shù)據(jù)的插入，但入侵者如果通過(guò)監(jiān)聽(tīng)客戶端和DNS服務(wù)器的對(duì)話，就可以猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào)，DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置。攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問(wèn)惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個(gè)域名服務(wù)器的域名解析請(qǐng)求的數(shù)據(jù)包被截獲，然后按截獲者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者。這時(shí)，原始請(qǐng)求者就會(huì)把這個(gè)虛假的IP地址作為它所要請(qǐng)求的域名而進(jìn)行連接，顯然它被欺騙到了別處而根本連接不上自己想要連接的那個(gè)域名。

方式四：DNS重定向

攻擊者如果將DNS名稱查詢重定向到惡意DNS服務(wù)器。那么被劫持域名的解析就完全置于攻擊者的控制之下。

方式五：ARP欺騙

ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)"ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP欺騙通常是在用戶局網(wǎng)中，造成用戶訪問(wèn)域名的錯(cuò)誤指向，但在IDC機(jī)房被入侵后，則也可能出現(xiàn)攻擊者采用ARP包壓制正常主機(jī)、或者壓制DNS服務(wù)器，而李代桃僵，以使訪問(wèn)導(dǎo)向錯(cuò)誤指向的情況。

方式六：本機(jī)劫持

在計(jì)算機(jī)系統(tǒng)被木馬或流氓軟件感染后可能會(huì)出現(xiàn)部分域名的訪問(wèn)異常，如訪問(wèn)掛馬或者釣魚(yú)站點(diǎn)、無(wú)法訪問(wèn)等情況，本機(jī)劫持有hosts文件篡改、本機(jī)DNS劫持、SPI鏈注入、BHO插件等方式，雖然并非都通過(guò)DNS環(huán)節(jié)完成，但都會(huì)造成無(wú)法按照用戶意愿獲得正確的地址或者內(nèi)容的后果。

如何防止DNS劫持

1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個(gè)以上的域名，一旦黑客進(jìn)行DNS攻擊，用戶還可以訪問(wèn)另一個(gè)域名。

2、手動(dòng)修改DNS：

在地址欄中輸入：http：//192.168.1.1 （如果頁(yè)面不能顯示可嘗試輸入：http：//192.168.0.1）。

填寫(xiě)您路由器的用戶名和密碼，點(diǎn)擊“確定”。

在“DHCP服務(wù)器—DHCP”服務(wù)中，填寫(xiě)主DNS服務(wù)器為更可靠的114.114.114.114地址，備用DNS服務(wù)器為8.8.8.8，點(diǎn)擊保存即可。

3、修改路由器密碼：

在地址欄中輸入：http：//192.168.1.1 （如果頁(yè)面不能顯示可嘗試輸入：http：//192.168.0.1）

填寫(xiě)您路由器的用戶名和密碼，路由器初始用戶名為admin，密碼也是admin，如果您修改過(guò)，則填寫(xiě)修改后的用戶名和密碼，點(diǎn)擊“確定”

填寫(xiě)正確后，會(huì)進(jìn)入路由器密碼修改頁(yè)面，在系統(tǒng)工具——修改登錄口令頁(yè)面即可完成修改（原用戶名和口令和2中填寫(xiě)的一致）

藍(lán)隊(duì)云雙11活動(dòng)進(jìn)行中，1H2G云服務(wù)器9.9元購(gòu)，更多活動(dòng)詳情可以登錄藍(lán)隊(duì)云官網(wǎng)了解哦。