什么是DNS篡改？如何防范？

DNS篡改

一、DNS篡改的概念与类型

什么是DNS篡改？

DNS（域名系统）的主要功能是将域名解析成IP地址，域名的解析工作由DNS服务器完成，从安全角度来看，域名解析的请求传输时通常不进行任何加密，这导致第三方能够很容易拦截用户的DNS，将用户的请求跳转到另一个地址，常见的攻击方法有DNS劫持和DNS污染。

DNS篡改的类型

中间人（MiTM）DNS劫持：攻击者执行中间人攻击以拦截用户和DNS服务器之间的通信并提供不同的目标IP地址，从而将用户重定向到恶意站点。

流氓DNS服务器攻击：攻击者可以破解DNS服务器，并更改DNS记录以将DNS请求重定向到恶意站点。

本地DNS劫持：攻击者在用户系统上植入恶意软件并修改本地DNS设置，因此用户的系统现在使用由攻击者控制的DNS服务器。

路由器DNS劫持：攻击者利用路由器中存在的固件漏洞来覆盖DNS设置，而影响连接到该路由的所有用户。

二、DNS篡改的症状

访问特定网站时被重定向

在某些地区的用户在成功连接宽带后，首次打开任何页面都指向ISP提供的“电信互联星空”、“网通黄页广告”等内容页面，还有就是曾经出现过用户访问Google域名的时候出现了百度的网站，这些都属于DNS劫持。

间歇性无法访问某些网站

由于DNS缓存投毒攻击（DNS cache poisoning），用户请求的第一步上就受到干扰，直接从协议上对用户的DNS请求进行干扰，例如YouTube、Facebook等网站。

三、如何检测DNS是否被劫持

电脑DNS是否被劫持

在电脑桌面右下角的网络图标上点击鼠标右键，在弹出的选项中，点击“打开网络和共享中心”。

在打开的网络和共享中心，点击已经连接的网络名称，之后会打开网络状态。

然后点击网络状态下面的“属性”，在弹出的网络属性对话框，先选中“Internet版本协议4（TCP/IPv4）”，然后再点击下方的“属性”。

最后就可以看到电脑设置的DNS地址了，如果自己之前没有设置过，默认是自动获取的，如果之前为设置过电脑DNS地址，但这里显示是手动设置的陌生DNS地址，则说明电脑DNS地址遭篡改。

路由器DNS是否被劫持

首先在浏览器打开路由器登陆地址192.168.1.1（不同品牌路由器默认地址也有可能不同），然后使用管理员账号登陆；

登陆路由器后台管理界面后，点击进入【网络参数】下面的“WAN口”设置，在WAN口设置右侧界面，点击底部的“高级设置”。

在打开的PPPoE高级设置界面，就可以看到路由器默认的DNS地址了。

如果与电脑设置一样，这个DNS出现手动设置，并且这个不是你自己此前设置的DNS地址的话，则说明您的路由器DNS遭到劫持。

四、如何防止DNS劫持攻击

使用复杂的密码重置路由器的默认密码

建议使用复杂的密码重置路由器的默认密码。

使用DNS注册器时使用双因素身份验证，并修补路由器中存在的所有漏洞以避免危害。

最好远离不受信任的网站，避免下载任何免费的东西。

如果您已被感染，建议删除HOSTS文件的内容并重置Hosts File。

为防止DNS劫持，始终建议使用良好的安全软件和防病毒程序，并确保定期更新软件。

安全专家建议使用公共DNS服务器。

最好定期检查您的DNS设置是否已修改，并确保您的DNS服务器是安全的。

2. 配置DNS over HTTPS (DoH)

DoH是一个安全的域名解析方案，其意义在于以加密的HTTPS协议进行DNS解析请求，避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题（例如中间人攻击）来达到保护用户隐私的目的，攻击者将无法查看请求的URL并对其进行更改，如果使用了基于HTTPS的DNS，数据在传输过程中发生丢失时，DoH中的传输控制协议（TCP）会做出更快的反应。

Windows用户可以通过注册表编辑器来激活 DoH 客户端；Chrome和Firefox浏览器也支持DoH功能。

五、相关问题与解答

什么是DNS污染？它是如何工作的？

DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法，是一种DNS缓存投毒攻击（DNS cache poisoning），其工作方式是：由于通常的DNS查询没有任何认证机制，而且DNS查询通常基于的UDP是无连接不可靠的协议，因此DNS的查询非常容易被篡改，通过对UDP端口53上的DNS查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS, Name Server）给查询者返回虚假结果，而DNS污染则是发生在用户请求的第一步上，直接从协议上对用户的DNS请求进行干扰。

2. 如果我发现我的DNS被篡改了怎么办？

如果您发现您的DNS被篡改了，您可以尝试以下步骤来解决问题：

立即修改路由器IP为更安全可靠的地址，如阿里云公共DNS：223.5.5.5，223.6.6.6，修改公共DNS地址的方式可参考。

给路由器设置更加复杂的安全密码，如非必要请关闭远程管理功能；升级路由器固件到最新版本。