DNS劫持是什么？

一、定义

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。

二、发展历程

2009年：巴西最大银行Bandesco巴西银行遭受DNS缓存病毒攻击，近1%用户被钓鱼，用户被重定向至虚假银行网站，该网站试图窃取用户密码并安装恶意软件。

2010年：发生“百度域名被劫持”事件，很多网民发现百度首页无法登录，网站域名被劫持到雅虎下面的两个域名服务器，部分网民还发现网站页面被篡改成黑色背景和伊朗国旗，对百度的安全形象和业务运行造成非常恶劣的影响。

2012年：日本邮储银行、三井住友银行和三菱东京日联银行提供的网上银行服务都被钓鱼网站劫持，出现试图获取用户信息的虚假页面，当用户登录官网网站后，会弹出要求用户输入账号密码的页面，页面上还显示银行的标志，如果不仔细分辨，很难分清真假。

2013年：史上最大规模的DNS钓鱼攻击预估已致800万用户感染。

2014年：全国大范围出现DNS故障，中国顶级域名根服务器出现故障，大部分网站受影响，此次故障未对国家顶级域名.CN造成影响，所有运行服务正常。

原理：攻击者通过攻击或伪造域名解析服务器（DNS），将目标网站的域名解析到错误的IP地址，具体方式包括DNS缓存中毒、未授权访问域名注册商账户、中间人攻击、攻击DNS服务器等。

特征：网站无法正常访问；无法访问网站；DNS记录被修改；电子邮件通信异常；SEO表现异常。

危害：对用户而言，会导致个人信息泄露、财产损失等风险；对企业机构而言，会让企业机构失去对域名的控制权，导致站点不能访问，正常流量流失，业务无法正常运行，进而对企业形象和经济利益造成影响。

四、应对方法

个人用户：手动修改DNS为可靠的DNS服务器地址，如114.114.114.114（或114.114.115.115）；定期刷新DNS缓存；使用强密码和双因素认证保护域名管理账户和DNS解析账户安全。

企业机构：设置更小的TTL值实现DNS缓存的短时间更新；加强域名账户的安全等级；定期备份DNS配置；选择可靠的域名注册商；启用DNSSEC；在客户端和递归DNS服务器通信的最后阶段中使用DNS加密技术，如DNSoverTLS，DNSoverHTTPS等。

五、相关问题与解答

问题：如何判断是否遭遇了DNS劫持？

解答：当遇到以下情况时，可能遭遇了DNS劫持：浏览器被重定向到一个陌生或恶意网站；无法访问特定网站，显示的错误信息如“域名未解析”或“服务器未找到”；电子邮件通信异常，如邮件丢失或延迟；网站的SEO表现急剧下降，流量异常减少，或搜索引擎索引的页面发生变化，如果发现DNS记录中有未授权的修改，如A记录、CNAME记录、MX记录等指向不明IP地址或域名，也可能是DNS劫持的迹象。

问题：遭遇DNS劫持后应该如何快速恢复？

解答：如果怀疑遭遇了DNS劫持，可以首先尝试修改DNS服务器地址为可靠的公共DNS服务器，如谷歌的8.8.8.8和8.8.4.4，或国内的114.114.114.114等，检查并清除本地计算机和路由器上的恶意软件和病毒，修改路由器的管理账号密码并更新固件，如果问题仍然存在，建议联系专业的网络安全服务提供商或互联网服务提供商寻求帮助。