如何进行路由器DNS劫持？

路由器DNS劫持教程

一、背景与原理

什么是DNS劫持？

DNS（Domain Name System）劫持是指通过篡改DNS服务器的数据，将用户查询的域名解析到错误的IP地址上，这种攻击方式通常用于将用户的网络流量引导至恶意网站或广告页面，甚至窃取用户的信息。

DNS劫持的危害

隐私泄露：用户的上网行为被监控，个人信息容易被窃取。

安全风险：访问被篡改的网站可能导致恶意软件感染。

用户体验受损：频繁的广告弹窗和错误的页面信息严重影响用户体验。

DNS劫持的原理

DNS劫持的核心在于控制用户的DNS解析请求，使其返回假的IP地址，这可以通过入侵本地路由器、修改公共DNS服务器或者中间人攻击等方式实现。

二、准备工具

硬件要求

路由器：确保可以刷入第三方固件（如DDWRT、OpenWrt等）。

电脑：用于登录路由器管理界面和执行攻击工具。

软件要求

ettercap：用于ARP欺骗和中间人攻击。

dnsmasq：轻量级DNS转发器，用于劫持DNS请求。

Wireshark：网络抓包工具，用于分析网络数据包。

三、操作步骤

登录路由器管理界面

使用浏览器打开路由器的管理界面（通常是http://192.168.1.1或http://192.168.0.1），输入默认用户名和密码（一般为admin/admin）。

更改DNS设置

在路由器管理界面中找到DNS设置选项，将默认的DNS服务器更改为攻击者控制的DNS服务器IP地址，将Google的DNS（8.8.8.8）改为攻击者的DNS（如192.168.1.100）。

配置DNS劫持规则

登录到攻击者控制的DNS服务器（如dnsmasq），编辑配置文件/etc/dnsmasq.conf，添加以下内容：

address=/etc/addresses.txt

在addresses.txt文件中添加要劫持的域名和对应的IP地址，

0、0.0.0 freebuf.com

保存文件并重启dnsmasq服务：

sudo systemctl restart dnsmasq

使用ettercap进行ARP欺骗

在攻击机上启动ettercap，选择网卡接口并设置为混杂模式，使用以下命令启动ARP欺骗：

sudo ettercap i [网卡接口] M ARP // /de:ff:ff:ff:ff:ff //

确认ARP欺骗成功后，所有经过网关的流量都会被重定向到攻击机。

验证劫持效果

在受害设备上打开浏览器，访问被劫持的网站（如freebuf.com），观察是否被重定向到预期的恶意IP地址，可以使用Wireshark抓包分析DNS请求和响应，确认劫持是否成功。

恢复默认设置

完成测试后，记得将路由器的DNS设置改回默认值，并关闭ARP欺骗，以免影响其他用户的正常使用。

四、防范措施

修改路由器默认密码

登录路由器管理界面，修改默认的管理员密码，防止未经授权的访问。

启用网络加密

在无线网络设置中启用WPA2或WPA3加密，设置强密码，防止未授权设备连接。

定期检查DNS设置

定期登录路由器管理界面，检查DNS设置是否被篡改，必要时改回默认设置。

使用可信赖的DNS服务器

将DNS服务器更改为知名的公共DNS服务器，如Google（8.8.8.8）或Cloudflare（1.1.1.1）。

安装安全软件

在电脑上安装杀毒软件和防火墙，定期扫描系统漏洞，防止恶意软件感染。

五、常见问题与解答

如何判断是否遭受DNS劫持？

网页无法正常打开：访问常见网站时出现错误提示。

频繁弹出广告：浏览网页时不断出现无关的广告窗口。

访问特定网站时被重定向：访问某些网站时自动跳转到其他未知页面。

如果发现DNS被劫持，该怎么办？

修改DNS设置：登录路由器管理界面，将DNS服务器改为可信赖的公共DNS服务器。

重置路由器：将路由器恢复出厂设置，重新配置网络参数。

修改路由器密码：确保管理员密码复杂且不易被猜测。

安装安全软件：在电脑上安装杀毒软件和防火墙，定期进行系统扫描。