黑客技術容易嗎?看完這篇DNS劫持你還能堅持嗎…
DNS劫持后果
大規模的DNS劫持,其結果往往是斷網,因為大網站的訪問量實在太大了,釣魚網站的服務器可能會扛不住大流量的訪問,瞬間就會癱瘓掉,網民看到的結果就是網頁打不開。
網上購物,網上支付有可能會被惡意指向別的網站,更加加大了個人賬戶泄密的風險。
網站內出現惡意廣告。
輕則影響網速,重則不能上網。
DNS劫持方法
方式一:利用DNS服務器進行DDOS攻擊
正常的DNS服務器遞歸詢問過程可能被利用成DDOS攻擊。
假設攻擊者已知被攻擊機器IP地址,然后攻擊者使用該地址作為發送解析命令的源地址。這樣當使用DNS服務器遞歸查詢后,DNS服務器響應給最初用戶,而這個用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞,反復的進行如上操作,那么被攻擊者就會受到來自于DNS服務器的響應信息DDOS攻擊,下為攻擊原理。
遞歸DNS獲得了某域名的IP地址后,把所有信息都回復給源地址,而此時的源地址就是被攻擊者的IP地址了。如果攻擊者擁有著足夠多的肉雞群,那么就可以使被攻擊者的網絡被拖垮至發生中斷。
利用DNS服務器攻擊的重要挑戰是,攻擊者由于沒直接與被攻擊主機進行通訊,隱匿了自己行蹤,讓受害者難以追查原始的攻擊來源。相對比較好的解決辦法就是可取消DNS服務器中允許人人查詢網址的遞回(recursive)功能。
方式二:DNS緩存感染
攻擊者使用DNS請求,將數據放入一個具有漏洞的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給用戶,從而把用戶客戶對正常域名的訪問引導到入侵者所設置掛馬、釣魚等頁面上,或者通過偽造的郵件和其他的server服務獲取用戶口令信息,導致客戶遭遇進一步的侵害。
方式三:DNS信息劫持
原則上TCP/IP體系通過序列號等多種方式避免仿冒數據的插入,但入侵者如果通過監聽客戶端和DNS服務器的對話,就可以猜測服務器響應給客戶端的DNS查詢ID。
每個DNS報文包括一個相關聯的16位ID號,DNS服務器根據這個ID號獲取請求源位置。
攻擊者在DNS服務器之前將虛假的響應交給用戶,從而欺騙客戶端去訪問惡意的網站。假設當提交給某個域名服務器的域名解析請求的數據包被截獲,然后按截獲者的意圖將一個虛假的IP地址作為應答信息返回給請求者。這時,原始請求者就會把這個虛假的IP地址作為它所要請求的域名而進行連接,顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。
方式四:DNS重定向
攻擊者如果將DNS名稱查詢重定向到惡意DNS服務器。那么被劫持域名的解析就完全置于攻擊者的控制之下。
網絡安全就是這樣子:不出事,說你沒啥用;出事了才慌里慌張……就像橋上的欄桿,平時也沒幾個人扶,但少了還真的不行。網絡安全也有點像賣保險,不出事都好……最后:安全,來自未雨綢繆。
DNS域名解析過程
1.輸入網址
2.電腦發出一個DNS請求到本地DNS服務器(本地DNS服務器一般由網絡接入商提供,中國移動、電信等)
3.本地服務器查詢緩存記錄,有則直接返回結果。沒有則向DNS根服務器進行查詢。(根服務器沒有記錄具體的域名和IP地址對應的關系)
4.告訴本地DNS服務器域服務器地址(此處為.com)
5.本地服務器向域服務器發出請求
6.域服務器告訴本地DNS服務器域名的解析服務器的地址
7.本地服務器向解析服務器發出請求
8.收到域名和IP地址的對應關系
9.本地服務器把IP地址發給用戶電腦,并保存對應關系,以備下次查詢
DNS,域名系統,是互聯網上作為域名和IP地址相互映射的一個分布式數據庫。
DNS的記錄類型
域名與IP之間的對應關系,稱為"記錄"(record)。根據使用場景,"記錄"可以分成不同的類型(type),前面已經看到了有A記錄和NS記錄。
常見的DNS記錄類型如下:
A
地址記錄(Address),返回域名指向的IP地址。
NS
域名服務器記錄(Name Server),返回保存下一級域名信息的服務器地址。該記錄只能設置為域名,不能設置為IP地址。
MX
郵件記錄(Mail eXchange),返回接收電子郵件的服務器地址。
CNAME
規范名稱記錄(Canonical Name),返回另一個域名,即當前查詢的域名是另一個域名的跳轉,詳見下文。
PTR
逆向查詢記錄(Pointer Record),只用于從IP地址查詢域名。
一般來說,為了服務的安全可靠,至少應該有兩條NS 記錄,而A記錄和MX記錄。
如何防止DNS劫持
1、互聯網公司準備兩個以上的域名,一旦黑客進行DNS攻擊,用戶還可以訪問另一個域名。
2、手動修改DNS:
在地址欄中輸入:http://192.168.1.1 (如果頁面不能顯示可嘗試輸入:http://192.168.0.1)。
填寫您路由器的用戶名和密碼,點擊“確定”。
在“DHCP服務器—DHCP”服務中,填寫主DNS服務器為更可靠的114.114.114.114地址,備用DNS服務器為8.8.8.8,點擊保存即可。
3、修改路由器密碼:
在地址欄中輸入:http://192.168.1.1 (如果頁面不能顯示可嘗試輸入:http://192.168.0.1)
填寫您路由器的用戶名和密碼,路由器初始用戶名為admin,密碼也是admin,如果您修改過,則填寫修改后的用戶名和密碼,點擊“確定”
填寫正確后,會進入路由器密碼修改頁面,在系統工具——修改登錄口令頁面即可完成修改(原用戶名和口令和2中填寫的一致)
歷史著名DNS劫持案例
新浪:DNS服務器出現域名無法解析故障
2012年1月30日,正值春節之后的工作日,新浪網卻慘遭訪問故障,部分地區出現無法訪問的情況,聯通用戶影響尤為嚴重。根據新浪官方聲明,正是因為DNS服務器出現域名無法解析故障所致。該次故障持續時間較短,但鑒于新浪在國內的影響力,所以本次事件不得不提。
