什么是dns劫持

DNS劫持是一种网络攻击方式，攻击者通过篡改用户的DNS设置或拦截DNS请求，将合法网站的域名解析为恶意网站的IP地址，使用户在不知情的情况下访问钓鱼网站。

1、基础概念：DNS劫持是一种网络攻击方式，通过修改域名解析记录或拦截DNS请求，将用户重定向到恶意网站或虚假IP地址，这种攻击可以导致用户无法访问正确的服务，甚至访问到窃取信息或破坏原有服务的虚假网站，有时当另一个人在原始域名过期后立即注册此域名也称为域名劫持。

2、攻击原理：要执行DNS劫持攻击，攻击者要么在用户的系统上安装恶意软件，要么通过利用已知漏洞或破解DNS通信实现路由器接管，攻击涉及破坏用户系统DNS的设置，将其重定向到恶意的DNS服务器。

3、攻击类型：

本地DNS劫持攻击：在本地DNS劫持中，攻击者在用户系统上植入恶意软件并修改本地DNS设置，因此用户的系统现在使用由攻击者控制的DNS服务器，攻击者控制的DNS服务器将网站域请求转换为恶意站点的IP地址，从而将用户重定向到恶意站点。

路由器DNS劫持攻击：在此类攻击中，攻击者利用路由器中存在的固件漏洞来覆盖DNS设置，从而影响连接到该路由器的所有用户，攻击者还可以通过利用路由器的默认密码来接管路由器。

中间人(MitM)DNS攻击：在这种类型的DNS劫持中，攻击者执行中间人(MitM)攻击以拦截用户和DNS服务器之间的通信并提供不同的目标IP地址，从而将用户重定向到恶意站点。

流氓DNS服务器：在此攻击中，攻击者可以破解DNS服务器，并更改DNS记录以将DNS请求重定向到恶意站点。

4、攻击示例：

攻击者使用DNSChanger木马通过恶意广告活动劫持超过400万台计算机的DNS设置，并获得约1400万美元的收入。

最近的一个DNS劫持活动在2019年1月已成功定位针对全球组织，这一系列攻击影响了北美、北非和中东的商业实体、政府机构、互联网基础设施提供商和电信提供商，在攻击中，攻击者修改了“DNS A”和“DNS NS”记录，并将受害者组织的名称服务器记录重定向到攻击者控制的域。

5、如何防止DNS劫持：

始终建议使用良好的安全软件和防病毒程序，并确保定期更新软件。

安全专家建议使用公共DNS服务器，如Google DNS或OpenDNS，这些服务器具有更高的安全性和可靠性。

最好定期检查您的DNS设置是否已修改，并确保您的DNS服务器是安全的。

使用复杂的密码重置路由器的默认密码，并建议使用双因素身份验证。

修补路由器中存在的所有漏洞以避免危害。

最好远离不受信任的网站，避免下载任何免费的东西。

如果您已被感染，建议删除HOSTS文件的内容并重置Hosts File。