DNS劫持是什么意思？DNS被劫持怎么辦？

　　DNS劫持又叫做域名劫持，是黑客入侵網(wǎng)站的一種常用手段，這種攻擊會(huì)對(duì)網(wǎng)站訪問(wèn)返回假的信息，甚至是訪問(wèn)失敗，那么，DNS劫持到底是什么呢？DNS被劫持我們應(yīng)該怎么辦呢？下面，我們一起往下看看。

　　DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則返回假的IP地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能反應(yīng)或訪問(wèn)的是假網(wǎng)址。

　　一、基本原理

　　DNS（域名系統(tǒng)）的作用是把網(wǎng)絡(luò)地址（域名，以一個(gè)字符串的形式）對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址（IP地址），以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器（DNS）能夠返回正常的IP地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。如果知道該域名的真實(shí)IP地址，則可以直接用此IP代替域名后進(jìn)行訪問(wèn)。比如訪問(wèn)百度域名，可以把訪問(wèn)改為202.108.22.5，從而繞開(kāi)域名劫持 。

　　二、應(yīng)對(duì)方法

　　DNS劫持（DNS釣魚(yú)攻擊）十分兇猛且不容易被用戶感知，曾導(dǎo)致巴西最大銀行巴西銀行近1%客戶受到攻擊而導(dǎo)致賬戶被盜。此次由國(guó)內(nèi)領(lǐng)先的DNS服務(wù)商114DNS率先發(fā)現(xiàn)的DNS劫持攻擊，黑客利用寬帶路由器的缺陷對(duì)用戶DNS進(jìn)行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁(yè)面，其寬帶路由器的DNS就會(huì)被黑客篡改，因?yàn)樵揥EB頁(yè)面設(shè)有特別的惡意代碼，所以可以成功躲過(guò)安全軟件檢測(cè)，導(dǎo)致大量用戶被DNS釣魚(yú)詐騙。

　　由于一些未知原因，在極少數(shù)情況下自動(dòng)修復(fù)不成功，建議您手動(dòng)修改。同時(shí)，為了避免再次被攻擊，即使修復(fù)成功，用戶也可按照360或騰訊電腦管家提示的方法修改路由器的登錄用戶名和密碼。下面以用戶常用的TP-link路由器為例來(lái)說(shuō)明修改方法（其他品牌路由器與該方法類似）。

　　手動(dòng)修改DNS：

　　1、在地址欄中輸入：http：//192.168.1.1 （如果頁(yè)面不能顯示可嘗試輸入：http：//192.168.0.1）。

　　2、填寫您路由器的用戶名和密碼，點(diǎn)擊“確定”。

　　3. 在“DHCP服務(wù)器—DHCP”服務(wù)中，填寫主DNS服務(wù)器為更可靠的114.114.114.114地址，備用DNS服務(wù)器為8.8.8.8，點(diǎn)擊保存即可。

　　修改路由器密碼：

　　1、在地址欄中輸入：http：//192.168.1.1 （如果頁(yè)面不能顯示可嘗試輸入：http：//192.168.0.1）

　　2、填寫您路由器的用戶名和密碼，路由器初始用戶名為admin，密碼也是admin，如果您修改過(guò)，則填寫修改后的用戶名和密碼，點(diǎn)擊“確定”

　　3、填寫正確后，會(huì)進(jìn)入路由器密碼修改頁(yè)面，在系統(tǒng)工具——修改登錄口令頁(yè)面即可完成修改（原用戶名和口令和2中填寫的一致）

　　三、預(yù)防DNS劫持

　　其實(shí)，DNS劫持并不是什么新鮮事物，也并非無(wú)法預(yù)防，百度被黑事件的發(fā)生再次揭示了全球DNS體系的脆弱性，并說(shuō)明互聯(lián)網(wǎng)廠商如果僅有針對(duì)自身信息系統(tǒng)的安全預(yù)案，就不足以快速應(yīng)對(duì)全面而復(fù)雜的威脅。因此，互聯(lián)網(wǎng)公司應(yīng)采取以下措施：

　　1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個(gè)以上的域名，一旦黑客進(jìn)行DNS攻擊，用戶還可以訪問(wèn)另一個(gè)域名。

　　2、互聯(lián)網(wǎng)應(yīng)該對(duì)應(yīng)急預(yù)案進(jìn)行進(jìn)一步修正，強(qiáng)化對(duì)域名服務(wù)商的協(xié)調(diào)流程。

　　3、域名注冊(cè)商和代理機(jī)構(gòu)特定時(shí)期可能成為集中攻擊目標(biāo)，需要加以防范。

　　4、國(guó)內(nèi)有關(guān)機(jī)構(gòu)之間應(yīng)該快速建立與境外有關(guān)機(jī)構(gòu)的協(xié)調(diào)和溝通，協(xié)助國(guó)內(nèi)企業(yè)實(shí)現(xiàn)對(duì)此事件的快速及時(shí)的處理。

　　四、歷史事件

　　2009年巴西最大銀行遭遇DNS攻擊，1%用戶被釣魚(yú)。

　　2010年1月12日 “百度域名被劫持”事件。

　　2012年 日本郵儲(chǔ)銀行、三井住友銀行和三菱東京日聯(lián)銀行各自提供的網(wǎng)上銀行服務(wù)都被釣魚(yú)網(wǎng)站劫持。

　　2013年 史上最大規(guī)模DNS釣魚(yú)攻擊預(yù)估已致800萬(wàn)用戶感染。

　　2014年1月21日 北京2014年1月21日，全國(guó)大范圍出現(xiàn)DNS故障，下午15時(shí)20分左右，中國(guó)頂級(jí)域名根服務(wù)器出現(xiàn)故障，大部分網(wǎng)站受影響，此次故障未對(duì)國(guó)家頂級(jí)域名.CN造成影響，所有運(yùn)行服務(wù)正常。

　　2013年5月6日，據(jù)國(guó)內(nèi)DNS服務(wù)提供商114DNS官方微博消息：新一輪DNS釣魚(yú)攻擊已經(jīng)突破國(guó)內(nèi)安全防線，可能已經(jīng)導(dǎo)致國(guó)內(nèi)數(shù)百萬(wàn)用戶感染。此攻擊利用路由器的弱口令，以及路由器的web管理接口進(jìn)行攻擊，通過(guò)Start_apply頁(yè)面修改DNS服務(wù)器地址以實(shí)現(xiàn)釣魚(yú)攻擊，此前DNS劫持曾致巴西最大銀行癱瘓； 用戶可手動(dòng)修改DNS為114.114.114.114（或114.114.115.115）避免受到攻擊 。114DNS平臺(tái)負(fù)責(zé)人介紹，114DNS為多個(gè)電信運(yùn)營(yíng)商與南京信風(fēng)共建的超大型DNS平臺(tái)，為公眾免費(fèi)提供全國(guó)通用的DNS解析，為企業(yè)提供高可靠權(quán)威DNS解析，同時(shí)為電信運(yùn)營(yíng)提供DNS應(yīng)急災(zāi)備。114DNS在電信運(yùn)營(yíng)商那關(guān)聯(lián)的DNS異常監(jiān)測(cè)系統(tǒng)，率先發(fā)現(xiàn)了黑客集團(tuán)發(fā)動(dòng)的此次DNS釣魚(yú)攻擊。

　　隨后，安全軟件及服務(wù)商騰訊電腦管家通過(guò)官方微博對(duì)此消息予以了證實(shí)，據(jù)騰訊電腦管家安全監(jiān)測(cè)數(shù)據(jù)顯示：至少有4%的全網(wǎng)用戶受到感染；以全網(wǎng)2億用戶進(jìn)行估算，每天至少有800萬(wàn)用戶處于DNS釣魚(yú)攻擊威脅中。114DNS及騰訊電腦管家對(duì)此次DNS劫持攻擊進(jìn)行了安全防御響應(yīng)，騰訊電腦管家已完成產(chǎn)品安全策略升級(jí)，可以有效識(shí)別被黑客篡改的DNS并攔截此類DNS指向的釣魚(yú)網(wǎng)站，為用戶提供修復(fù)方案，并向廣大用戶發(fā)出了安全風(fēng)險(xiǎn)警告。

　　2012年，據(jù)日本《日經(jīng)電腦》報(bào)道，日本郵儲(chǔ)銀行、三井住友銀行和三菱東京日聯(lián)銀行于2012年10月25日和10月26日分別發(fā)布公告提醒用戶，三家銀行各自提供的網(wǎng)上銀行服務(wù)都被釣魚(yú)網(wǎng)站劫持，出現(xiàn)要求用戶輸入信息的虛假頁(yè)面，在登錄官方網(wǎng)站后，會(huì)彈出要求用戶輸入密碼等的窗口畫面，本次虛假?gòu)棾鍪酱翱陧?yè)面的目的在于盜取用戶網(wǎng)上銀行服務(wù)的密碼。這種彈出式窗口頁(yè)面上還顯示有銀行的標(biāo)志等，乍看上去像真的一樣。

　　DNS劫持曾制造2010年“百度域名被劫持”事件

　　2010年1月12日上午7時(shí)40分，有網(wǎng)民發(fā)現(xiàn)百度首頁(yè)登陸發(fā)生異常情況。上午8時(shí)后，在中國(guó)內(nèi)地大部分地區(qū)和美國(guó)、歐洲等地都無(wú)法以任何方式正常登陸百度網(wǎng)站，而百度域名的WHOIS傳輸協(xié)議被無(wú)故更改，網(wǎng)站的域名被更換至雅虎屬下的兩個(gè)域名服務(wù)器，部分網(wǎng)民更發(fā)現(xiàn)網(wǎng)站頁(yè)面被篡改成黑色背景以及伊朗國(guó)旗，同時(shí)顯示“This site has been hacked by Iranian Cyber Army”（該網(wǎng)站已被伊朗網(wǎng)軍入侵）字樣以及一段阿拉伯文字，然后跳轉(zhuǎn)至英文雅虎主頁(yè)，這就是“百度域名被劫持”事件。

　　巴西最大銀行曾遭遇DNS攻擊，1%用戶被釣魚(yú)

　　2009年巴西一家最大銀行Bandesco巴西銀行，曾遭受DNS緩存病毒攻擊，成為震驚全球的““銀行劫持案”。受到影響的用戶會(huì)被重定向至一個(gè)假冒的銀行網(wǎng)站，該假冒網(wǎng)站試圖竊取用戶密碼并安裝惡意軟件。DNS緩存病毒攻擊是利用互聯(lián)網(wǎng)域名系統(tǒng)中的漏洞進(jìn)行的，沒(méi)有及時(shí)打補(bǔ)丁的ISP很容易受到攻擊。合法的IP會(huì)被某個(gè)網(wǎng)站給取代，即使終端用戶輸入正確的網(wǎng)址也會(huì)被重定向至那些惡意網(wǎng)站。有近1%的銀行客戶受到了攻擊，如果這些客戶注意到了銀行SSL證書在被重定向時(shí)出現(xiàn)的錯(cuò)誤提示，就不會(huì)上當(dāng)受騙。

　　北京2014年1月21日，全國(guó)大范圍出現(xiàn)DNS故障

　　北京2014年1月21日，全國(guó)大范圍出現(xiàn)DNS故障，下午15時(shí)20分左右，中國(guó)頂級(jí)域名根服務(wù)器出現(xiàn)故障，大部分網(wǎng)站受影響，此次故障未對(duì)國(guó)家頂級(jí)域名.CN造成影響，所有運(yùn)行服務(wù)正常。

　　業(yè)內(nèi)人士：DNS域名解析系統(tǒng)故障或因黑客襲擊

　　昨日下午，全國(guó)DNS域名解析系統(tǒng)出現(xiàn)了大范圍的訪問(wèn)故障，全國(guó)大半網(wǎng)站不同程度地出現(xiàn)了不同地區(qū)、不同網(wǎng)絡(luò)環(huán)境下的訪問(wèn)故障。此次故障是網(wǎng)絡(luò)技術(shù)故障，還是黑客襲擊？網(wǎng)民訪問(wèn)這些網(wǎng)站會(huì)遇到哪些風(fēng)險(xiǎn)，該如何應(yīng)對(duì)？

　　五、探因

　　目標(biāo)網(wǎng)站曾有黑客攻擊行為

　　網(wǎng)絡(luò)安全專家表示，此次網(wǎng)站無(wú)法訪問(wèn)的原因是網(wǎng)站域名解析錯(cuò)誤。

　　百度公司一名技術(shù)人員分析認(rèn)為，網(wǎng)站域名解析錯(cuò)誤存在幾種可能。一是黑客攻擊國(guó)外根服務(wù)器造成國(guó)內(nèi)服務(wù)器域名解析遭到污染。二是由于數(shù)據(jù)傳輸過(guò)程中網(wǎng)絡(luò)節(jié)點(diǎn)較多，節(jié)點(diǎn)也可能成為攻擊目標(biāo)。但如果是攻擊節(jié)點(diǎn)的話，此次攻擊比較特殊，“攻擊者既沒(méi)有圖名，也沒(méi)有圖利，而是指向了一個(gè)沒(méi)有具體內(nèi)容的IP地址。”三是黑客在攻擊單個(gè)網(wǎng)站的時(shí)候，因?yàn)楣?jié)點(diǎn)較多，導(dǎo)致節(jié)點(diǎn)污染從而影響了全網(wǎng)。

　　除此之外，還存在黑客攻擊了國(guó)內(nèi)運(yùn)營(yíng)商和網(wǎng)絡(luò)防火墻，或者國(guó)內(nèi)網(wǎng)絡(luò)運(yùn)營(yíng)商由于某種失誤操作導(dǎo)致故障。

　　以上就是DNS劫持的基本簡(jiǎn)介及DNS被劫持的應(yīng)對(duì)方法，熟悉了解DNS劫持后，相信會(huì)對(duì)你預(yù)防DNS被劫持有好處的。