DNS网站域名被劫持的几种方法及处理方式

2020-09-16 22:35

甚么是DNS被劫持

DNS被劫持又称网站域名被劫持,是指在被劫持的互联网范畴内阻拦网站域名分析的恳求,剖析恳求的网站域名,把核查范畴之外的恳求放行,不然回到假的IP详细地址或甚么都不做使恳求丧失回应,其实际效果便是对特殊的互联网不可以浏览或浏览的是假网站地址。

DNS被劫持病症

在一些地域的客户在取得成功联接光纤宽带后,初次开启任何网页页面都指向ISP出示的“电信互联夜空”、“网通黄页广告宣传”等內容网页页面。这些都属于DNS被劫持。

DNS被劫持基本原理

DNS(网站域名系统软件)的功效是把互联网详细地址(网站域名,以1个标识符串的方式)对应到真正的测算性能够鉴别的互联网详细地址(IP详细地址),便于测算性能够进1步通讯,传送网站地址和內容等。因为网站域名被劫持常常只能在特殊的遭劫持的互联网范畴内开展,因此在此范畴外的网站域名服务器(DNS)可以回到一切正常的IP详细地址,高級客户能够在互联网设定把DNS指向这些一切正常的网站域名服务器以完成对网站地址的一切正常浏览。因此网站域名被劫持一般相伴的对策——封禁一切正常DNS的IP。

DNS网站域名分析全过程

1.键入网站地址

2.电脑上传出1个DNS恳求到当地DNS服务器(当地DNS服务器1般由互联网接入商出示,我国挪动、电信等)

3.当地服务器查寻缓存文件纪录,有则立即回到結果。沒有则向DNS根服务器开展查寻。(根服务器沒有纪录实际的网站域名和IP详细地址对应的关联)

4.告知当地DNS服务器域服务器详细地址(此处为.com)

5.当地服务器向域服务器传出恳求

6.域服务器告知当地DNS服务器网站域名的分析服务器的详细地址

7.当地服务器向分析服务器传出恳求

8.收到网站域名和IP详细地址的对应关联

9.当地服务器把IP详细地址发给客户电脑上,并储存对应关联,以备下一次查寻

DNS,网站域名系统软件,是互联网技术上做为网站域名和IP详细地址互相投射的1个遍布式数据信息库。

DNS的纪录种类

网站域名与IP之间的对应关联,称为"纪录"(record)。依据应用情景,"纪录"能够分为不一样的种类(type),前面早已看到了有A纪录和NS纪录。

普遍的DNS纪录种类以下:

A

详细地址纪录(Address),回到网站域名指向的IP详细地址。

NS

网站域名服务器纪录(Name Server),回到储存下1级网站域名信息内容的服务器详细地址。该纪录只能设定为网站域名,不可以设定为IP详细地址。

MX

电子邮件纪录(Mail eXchange),回到接受电子器件电子邮件的服务器详细地址。

CNAME

标准名字纪录(Canonical Name),回到另外一个网站域名,即当今查寻的网站域名是另外一个网站域名的自动跳转,详见下文。

PTR

逆向查寻纪录(Pointer Record),只用于从IP详细地址查寻网站域名。

1般来讲,以便服务的安全性靠谱,最少应当有两条NS 纪录,而A纪录和MX纪录

DNS被劫持不良影响

大经营规模的DNS被劫持,其結果常常是断网,由于大网站的浏览量确实太大了,垂钓网站的服务器将会会扛不住大总流量的浏览,一瞬间就会瘫痪掉,网民看到的結果便是网页页面打不开。

在网上买东西,在网上付款有将会会被故意指向其他网站,更为加大了本人账户泄露的风险性。

网站内出現故意广告宣传。

轻则危害网速,重则不可以上网。‍

DNS被劫持方式

方法1:运用DNS服务器开展DDOS进攻

一切正常的DNS服务器递归了解全过程将会被运用成DDOS进攻。

假定进攻者已知被进攻设备IP详细地址,随后进攻者应用该详细地址做为推送分析指令的源详细地址。这样当应用DNS服务器递归查寻后,DNS服务器回应给最开始客户,而这个客户更是被进攻者。那末假如进攻者操纵了充足多的肉鸡,不断的开展如上实际操作,那末被进攻者就会遭受来自于DNS服务器的回应信息内容DDOS进攻,下为进攻基本原理。

进攻者推送操纵数据信号给肉鸡群设备。肉鸡群设备对于这个递归DNS持续的实行这条纪录的查寻。当地的DNS服务器最先在它的当地表(或缓存文件)中开展搜索"搜索"www.idcbest.com",假如寻找将其回到顾客端,假如沒有发现,那末DNS服务器推送1个查寻给根服务器,来查寻"www.idcbest.com"的IP详细地址。

根服务器收到讯息(信息内容)后会答复"www.idcbest.com"”顶级域(TLD)服务器的详细地址。随后由当地的DNS服务器联络一级域名(TLD)服务器来明确"明确"www.idcbest.com”的IP详细地址。

顶级域(TLD)服务器会答复对于“www.idcbest.com"的名字的服务器详细地址。当地DNS服务器联络获得的"www.idcbest.com"的名字服务器来明确它的IP详细地址。

递归DNS得到了某网站域名的IP详细地址后,把全部信息内容都回应给源详细地址,而此时的源详细地址便是被进攻者的IP详细地址了。假如进攻者有着着充足多的肉鸡群,那末便可以使被进攻者的互联网被拖垮至产生终断。

运用DNS服务器进攻的关键挑戰是,进攻者因为没立即与被进攻主机开展通信,藏匿了自身行迹,让受害者无法查证初始的进攻来源于。相对性较为好的处理方法便是可撤销DNS服务器中容许人人查寻网站地址的递回(recursive)作用。

方法2:DNS缓存文件感柒

进攻者应用DNS恳求,将数据信息放入1个具备系统漏洞的DNS服务器的缓存文件之中。这些缓存文件信息内容会在顾客开展DNS浏览时回到给客户,从而把客户顾客对一切正常网站域名的浏览正确引导到侵入者所设定挂马、垂钓等网页页面上,或根据仿冒的电子邮件和别的的server服务获得客户动态口令信息内容,致使顾客遭受进1步的损害。

方法3:DNS信息内容被劫持

标准上TCP/IP管理体系根据编码序列号等多种多样方法防止假冒数据信息的插进,但侵入者假如根据监视顾客端和DNS服务器的会话,便可以猜想服务器回应给顾客端DNS查寻ID。

每一个DNS报文格式包含1个有关联的16位ID号,DNS服务器依据这个ID号获得恳求源部位。

进攻者在DNS服务器以前将虚报的回应交到客户,从而蒙骗顾客端去浏览故意的网站。假定当递交给某个网站域名服务器的网站域名分析恳求的数据信息包被截获,随后按截获者的用意将1个虚报的IP详细地址做为回复信息内容回到给恳求者。这时候,初始恳求者就会把这个虚报的IP详细地址做为它所要恳求的网站域名而开展联接,明显它被蒙骗到了别处而压根联接不上自身要想联接的那个网站域名。

方法4:DNS重定项

进攻者假如将DNS名字查寻重定项到故意DNS服务器。那末遭劫持网站域名的分析就彻底置于进攻者的操纵之下。

方法5:ARP蒙骗

ARP进攻便是根据仿冒IP详细地址和MAC详细地址完成ARP蒙骗,可以在互联网中造成很多的ARP通讯量使互联网堵塞,进攻者要是不断持续的传出仿冒的ARP回应包就可以变更总体目标主机ARP缓存文件中的IP-MAC条目,导致互联网终断或正中间人进攻。

ARP进攻关键是存在于局域网互联网中,局域网中若有1台测算机感柒ARP木马,则感柒该ARP木马的系统软件可能尝试根据"ARP蒙骗”方式截获所属互联网内其它测算机的通讯信息内容,并因而导致网内其它测算机的通讯常见故障。ARP蒙骗一般是在客户局网中,导致客户浏览网站域名的不正确指向,但在IDC主机房被侵入后,则也将会出現进攻者选用ARP包抑制一切正常主机、或抑制DNS服务器,而李代桃僵,以使浏览导向性不正确指向的状况。

方法6:本机被劫持

在测算机系统软件被木马或流氓手机软件感柒后将会会出現一部分网站域名的浏览出现异常,如浏览挂马或垂钓站点、没法浏览等状况,本机被劫持有hosts文档伪造、本机DNS被劫持、SPI链引入、BHO软件等方法,尽管并不是都根据DNS阶段进行,但都会导致没法依照客户意向得到正确的详细地址或內容的不良影响。

怎样避免DNS被劫持

1、互联网技术企业提前准备两个以上的网站域名,1旦网络黑客开展DNS进攻,客户还能够浏览另外一个网站域名。

2、手动式改动DNS:

在详细地址栏中键入:http://192.168.1.1 (假如网页页面不可以显示信息可尝试键入:http://192.168.0.1)。

填写您路由器器的客户名和登陆密码,点一下“明确”。

在“DHCP服务器—DHCP”服务中,填写主DNS服务器为更靠谱的114.114.114.114详细地址,备用DNS服务器为8.8.8.8,点一下储存便可。

3、改动路由器器登陆密码:

在详细地址栏中键入:http://192.168.1.1 (假如网页页面不可以显示信息可尝试键入:http://192.168.0.1)

填写您路由器器的客户名和登陆密码,路由器器原始客户名为admin,登陆密码也是admin,假如您改动过,则填写改动后的客户名和登陆密码,点一下“明确”

填写正确后,会进到路由器器登陆密码改动网页页面,在系统软件专用工具——改动登陆动态口令网页页面便可进行改动(原客户名和动态口令和2中填写的1致)

历史时间知名DNS被劫持实例

新浪:DNS服务器出現网站域名没法分析常见故障

2012年1月30日,恰逢新春佳节以后的工作中日,新浪网却惨遭浏览常见故障,一部分地域出現没法浏览的状况,联通用性户危害尤其比较严重。依据新浪官方申明,更是由于DNS服务器出現网站域名没法分析常见故障引发。该次常见故障不断時间较短,但鉴于新浪在中国的危害力,因此本次恶性事件迫不得已提。

某著名CDN服务商:DNS常见故障致多家著名网站断线時间超1小时

2013年1月27日,某著名CDN服务商DNS常见故障致使很多大顾客断线時间超出1小时,包含163、腾迅、鳳凰网、百度搜索、多玩、m1905、乐视网和12306在内的著名网站在一部分地域的浏览遭受危害。官方称是技术性升級中1控制模块常见故障致使,但有信息指出,真实的缘故是系统软件常见故障,因企业年会无人监管致使紧急解决速率减少。

.CN网站域名:“遭进攻”致大面积瘫痪

2013年8月25日,.cn网站域名分析连接点遭受回绝服务进攻,遭受危害的包含微博顾客端及1些.cn网站。依据DNSPod的监管显示信息,CN的根域受权DNS全线常见故障,全部CN网站域名均没法分析。

天地数据信息15年的IDC经营工作经验,推出全世界国外服务器租赁代管、机柜租赁、带宽租赁、虚似主机、云主机、CDN等业务流程,另外出示高防服务器安全性服务,欢迎众多顾客拨电话资询!



扫描二维码分享到微信

在线咨询
联系电话

020-66889888