故事背景:产品反馈线上站点操作后跳转至空白页面,浏览器 URL 地址异常,ping 命令测试后定位可能是 DNS 解析异常,联系七牛云技术人员排查,反馈是由于带宽突变,触发节点防攻击策略所致,后续先调整 DNS 解析至本地 Nginx,再等待七牛云方面把防攻击策略手动解除即恢复正常。
什么是 DNS 篡改劫持?
DNS 篡改劫持是一种网络攻击或网络干扰行为,攻击者通过操控域名系统(DNS)的解析过程,拦截或篡改用户的 DNS 查询,从而将用户引导到恶意网站、钓鱼页面、广告页面,或阻止用户访问某些网站。
DNS 篡改劫持可用于 DNS 域欺骗(攻击者通常目的是为了显示不需要的广告以产生收入)或用于网络钓鱼(为了让用户访问虚网站并窃取用户的数据和凭据)。互联网服务提供商(ISP)也可能通过 DNS 劫持,以接管用户的 DNS 请求,收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。
DNS 篡改劫持的常见方式?
- 恶意 DNS 服务器
攻击者设置或入侵 DNS 服务器,将其配置为返回错误的 IP 地址。用户配置了这些恶意 DNS 服务器后,所有的域名解析都会被劫持。
- 本地篡改
攻击者通过恶意软件修改用户计算机上的 hosts 文件或 DNS 设置,使得用户在访问某些域名时,被重定向到恶意网站。
- 中间人攻击(MITM)
在网络传输过程中,攻击者充当中间人,篡改用户的 DNS 查询请求或响应。比如在不安全的公共 Wi-Fi 网络中,攻击者可以利用这种方式劫持用户的 DNS 查询。
- DNS缓存投毒(Cache Poisoning)
攻击者通过向 DNS 服务器注入错误的 DNS 记录,使得这些记录被缓存,并在一段时间内返回给所有查询该域名的用户。
DNS 篡改劫持的影响?
- 安全风险:用户可能会被重定向到钓鱼网站、恶意软件下载页面或广告页面,从而泄露敏感信息或感染恶意软件
- 隐私泄露:攻击者可能监控用户的浏览活动,收集敏感数据
- 访问控制:政府或组织可能使用 DNS 篡改劫持来屏蔽用户对某些网站的访问(例如,屏蔽社交媒体或新闻网站)
DNS 篡改劫持的检测方式?
首先,如果你访问经常使用的网站时发现加载速度变慢或出现异常的弹出广告,这可能是 DNS 篡改劫持的迹象。这些现象虽然不能完全确定 DNS 被篡改,但确实是潜在的警示信号。
- 检查路由器或使用路由器检查器:数字路由器检查器服务的原理是使用可靠的 DNS 解析器检查您的系统,并查看您是否正在使用授权的 DNS 服务器。或者还可以访问路由器的在线管理页面并检查其中的 DNS 设置
- 使用公共 DNS 服务:切换到公共 DNS 服务(如 Google DNS、Cloudflare DNS)进行查询,并与当前 DNS 服务提供的结果进行对比。如果存在不一致,可能说明你的 DNS 被篡改
- 监控 DNS 流量:使用网络监控工具(如 Wireshark)分析 DNS 流量,检查是否有异常的 DNS 查询或响应,特别是那些指向不明 IP 地址的
- 执行 ping 命令测试:ping 命令主要用于查看一个 IP 地址是否实际存在。如果你的浏览器 ping 一个不存在的 IP 地址却仍获得解析,则 DNS 很可能已被黑客入侵
- 使用 nslookup 或 dig 工具:可以使用 nslookup 或 dig 命令来手动检查某个域名的 DNS 解析结果。例如,查询常见域名(如google.com)的 IP 地址,并与公开的 DNS 解析结果对比,查看是否有差异
DNS 篡改劫持的防御措施?
- 使用可信的 DNS 服务器:配置使用公共的、经过认证的 DNS 服务(如 Google DNS、Cloudflare DNS),这些服务通常具有防止篡改的措施
- 使用 DNSSEC:DNSSEC(DNS Security Extensions)通过数字签名验证 DNS 响应的真实性,防止篡改和劫持
- 加密 DNS 查询:使用 DoH(DNS over HTTPS)或 DoT(DNS over TLS)加密 DNS 查询数据,防止在传输过程中被拦截和篡改
- 定期检查设备配置:确保计算机和路由器的 DNS 设置未被恶意修改
