一、什么是 DNS
DNS 即 Domain Name System,是域名系统的缩写,它以分布式数据库的形式将域名和 IP 地址相互映射,在正常环境下,用户的每一个上网请求会通过 DNS 解析指向到与之相匹配的 IP 地址,从而完成一次上网行为。
二、DNS 被黑的常见手段
1、利用 DNS 服务器进行 DDoS 攻击:正常 DNS 服务器递归询问过程被利用,变成 DDoS 攻击,若黑客知晓被攻击机器 IP 地址,使用该地址作为发送解析命令的源地址,当 DNS 服务器递归查询后会响应给最初用户,若黑客控制了足够规模的肉鸡进行操作,这个最初用户就会受到来自于 DNS 服务器的响应信息 DDoS 攻击。
2、DNS 缓存感染:黑客使用 DNS 请求将数据注入具有漏洞的 DNS 服务器缓存中,这些缓存信息会在客户进行 DNS 访问时返回给用户,把用户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或通过伪造邮件和其他服务获取用户口令信息,导致客户遭遇进一步侵害。
3、DNS 信息劫持:原则上 TCP/IP 体系通过序列号等多种方式避免仿冒数据插入,但黑客通过监听客户端和 DNS 服务器对话,就可以解析服务器响应给客户端的 DNS 查询 ID,每个 DNS 报文包括一个相关联的 16 位 ID,DNS 服务器根据这个 ID 获取请求源位置,黑客在 DNS 服务器之前将虚假响应交给用户,欺骗客户端去访问恶意网站。
4、ARP 欺骗:通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,在网络中产生大量 ARP 通信量使网络阻塞,黑客只要持续不断发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IPMAC 条目,造成网络中断或中间人攻击。
三、DNS 被黑对业务的影响
1、用户流失:很多用户习惯依赖书签或者易记域名进入网站,一旦被劫持会使这类用户无法打开网站,更换域名又没办法及时告知变更情况,导致用户大量流失。
2、搜索引擎降权:用户流量主要是通过搜索引擎 SEO 进入,DNS 被劫持后会导致搜索引擎蜘蛛抓取不到正确 IP,网站就可能会被百度 ban 掉。
3、应用访问问题:一些域名使用在手机应用 APP 调度上,这些域名的解析关系到应用 APP 访问,如果解析出现劫持就会导致应用 APP 无法访问,此时更换域名可能会导致 APP 的下架,重新上架需要审核并且不一定可以重新上架,这就会导致应用 APP 会有用户无法访问或者下载的空窗期。
四、如何监测网站是否被 DNS 劫持
1、借助 ARMS云拨测:实时对网站进行监控,实现分钟级别的监控,及时发现 DNS 劫持以及页面篡改。
2、设置白名单:利用域名白名单、元素白名单,有效探测域名劫持以及元素篡改情况,在建立拨测任务时,可以设置 DNS 劫持白名单。
五、相关问题与解答
1、问:如何判断路由器是否被 DNS 劫持?
答:可以通过运行“nslookup”命令来判断,如果当前的 DNS 服务器正常工作,返回的结果应该是自己的 DNS 服务器,随便解析一个网站,www.microsoft.com,应该返回正常的地址;再解析一个不存在的网站,如 adfasdf.fljalfjsd.com.cn,如果返回的结果是“DNS request timed out.timeout was 2 seconds.”,那么证明你的 DNS 没有被劫持;如果返回的结果是一个 IP 地址,则证明你的 DNS 被劫持了。
2、问:DNS 被劫持后该如何修复?
答:首先需要修改为默认设置或者设置为较稳定的 DNS 服务器,如谷歌的 8.8.8.8 和阿里的 223.5.5.5,然后清除本地的 DNS 缓存,执行“ipconfig/flushdns”命令,如果是路由器被劫持,还需要登录路由器管理界面,修改路由器的登录用户名和密码,并检查路由器的 DNS 设置。
来源互联网整合,作者:小编,如若转载,请注明出处:https://www.aiboce.com/ask/122618.html
