dns本地劫持

DNS本地劫持详解

一、定义与原理

DNS本地劫持是指攻击者通过在用户设备上安装恶意软件等方式，篡改本地的DNS设置，使得用户对域名的访问请求被重定向到攻击者指定的恶意站点，其基本原理是破坏用户系统原本正常的DNS配置，让DNS查询不再按照正确的路径解析到合法的服务器IP地址，而是指向攻击者控制的虚假服务器，用户本来想访问正规的银行网站，但由于本地DNS被劫持，可能会被导向一个外观相似但由攻击者搭建的钓鱼网站，从而泄露用户的账号密码等敏感信息。

二、常见实现方式

三、危害表现

1、个人信息泄露：用户登录各类账号时，输入的用户名、密码等敏感信息会被劫持到的虚假网站获取，攻击者可用于盗号、诈骗等，例如劫持支付平台登录页面，获取用户银行卡信息。

2、网络诈骗风险增加：引导用户进入虚假购物、中奖等诈骗页面，诱导用户进行转账、填写个人信息等操作，造成财产损失。

3、正常网络服务受阻：使用户无法访问真正想要访问的合法网站，影响正常的网络浏览、工作、学习等活动，如企业员工无法访问工作相关的内部系统或外部业务网站。

四、检测方法

1、查看本地DNS设置：在Windows系统中，可通过控制面板 网络和共享中心 更改适配器设置 双击本地连接 双击Internet协议版本4(TCP/IPv4)，查看“使用下面的DNS服务器地址”中的首选DNS服务器和备用DNS服务器地址是否被修改，在Mac系统中，通过系统偏好设置 网络，选择相应网络连接后查看DNS设置，若发现DNS地址与平时正常设置不同，可能遭遇劫持。

2、使用命令行工具检测：在Windows系统中，打开命令提示符（cmd），输入“nslookup [域名]”，如“nslookup www.baidu.com”，正常情况下应返回百度正确的IP地址，若返回异常IP地址，可能是DNS被劫持，在Linux和Mac系统中，可在终端使用相同命令进行检测。

3、借助安全软件检测：许多杀毒软件、网络安全软件具备DNS劫持检测功能，安装并运行这些软件，按照软件提示进行全面扫描或专项检测，软件会根据特征判断是否存在DNS本地劫持情况。

五、防范措施

1、安装可靠安全软件：选择知名的杀毒软件和防火墙软件，如卡巴斯基、诺顿、360安全卫士等，开启实时防护功能，及时拦截恶意软件对DNS的篡改行为，并在检测到威胁时进行预警和处理。

2、谨慎下载安装软件：只从官方正规渠道下载软件，避免使用不明来源的软件安装包，尤其是那些非官方的破解版、绿色版软件，以防其中携带篡改DNS的恶意程序。

3、定期检查DNS设置：养成定期查看本地DNS设置的习惯，确保其未被非法修改，若发现异常，及时恢复为正常可靠的DNS地址，如常见的公共DNS服务器地址（如114.114.114.114、8.8.8.8等）。

4、及时更新系统和软件：保持操作系统、浏览器、网络驱动程序等相关软件的及时更新，修复可能存在的安全漏洞，降低被攻击者利用漏洞篡改DNS的风险。

相关问题与解答

问题1：如果怀疑电脑DNS被劫持，除了上述检测方法外，还有什么其他迹象可以辅助判断？

解答：除了直接查看DNS设置和使用命令行工具检测域名解析结果外，还可以关注以下迹象，一是浏览器主页莫名被修改且难以修复，这可能是因为恶意软件在篡改DNS的同时修改了浏览器设置，并且依靠劫持的DNS来维持对恶意主页的访问引导，二是网络速度明显变慢且不稳定，由于DNS被劫持后可能指向的恶意服务器响应效率低或者网络质量差，会导致整个网络访问过程出现延迟、卡顿甚至频繁断网的情况，三是频繁出现莫名其妙的弹窗广告，尤其是在正常浏览网页时弹出与当前页面内容无关且风格低俗的广告，这可能是恶意DNS服务器在作祟，将用户重定向到包含大量广告的恶意网站。

问题2：在使用公共WiFi时，如何更好地防止DNS本地劫持？

解答：在使用公共WiFi时，首先要尽量避免使用公共WiFi进行涉及敏感信息的操作，如网上银行转账、登录重要账号等，如果必须使用，可采取以下措施，一是使用虚拟专用网络（VPN），通过加密通道传输数据，使得攻击者难以劫持DNS请求，在选择VPN服务时，要选用信誉良好、安全可靠的提供商，二是手动将DNS设置为可靠的公共DNS服务器地址，如前面提到的114.114.114.114或8.8.8.8等，这样即使公共WiFi环境存在DNS劫持风险，也能优先使用自己设置的DNS进行解析，三是关闭设备的自动连接功能，防止连接到不安全的WiFi网络，并且在连接公共WiFi前，仔细确认网络名称和安全性设置，避免误连到假冒的WiFi热点。