近期,D妹收到不少用户反馈,在访问网站或APP时都遭遇了访问失败的问题。经深入排查,我们监测到大量家用路由器的DNS解析配置被篡改,从而影响到了正常的网站和APP访问。
该情况于2024年5月开始出现,于8月5日集中爆发达到峰值,截止8月7日,经过测试确认,导致本次故障大规模爆发的域名在异常 DNS 服务器上已经恢复,但受 TTL 及客户端本地缓存的影响,客户端的恢复时间会有一定的滞后性。
虽然本次较大面积的持续故障目前看已经收敛,但被篡改的路由器DNS配置并没有修复,该隐患依然持续存在。
鉴于DNS劫持的复杂性,D妹在这里提醒一下大家,类似安全事件未来可能仍存在再次发生的风险。
情况分析
这种情况在网络安全中并不少见,是典型的DNS劫持攻击事件。
攻击者通过非法手段修改用户的DNS服务器设置,使其指向一个恶意的DNS服务器。攻击者通过扫描互联网上暴露的路由器IP地址,利用已知的漏洞或通过密码爆破等手段,获取路由器的控制权限。
一旦控制了路由器,攻击者便能够修改其DNS设置,将用户访问的域名解析指向错误的IP地址。当用户访问网站时,恶意DNS服务器会返回错误的IP地址,将用户引导至攻击者指定的网站。
正常情况下,用户访问网站或APP时,会向DNS服务器发送请求,解析网站域名对应的IP地址。DNS服务器会返回正确的IP地址,用户的设备与目标服务器建立连接并访问网站。
但在DNS劫持攻击中,恶意DNS服务器会返回错误的IP地址,导致用户访问到错误的网站或者无法访问目标网站。
如何自查?
1、建议检查您的路由器的主DNS配置是否被修改为了类似以下 IP(包括但不限于以下 IP),如果被修改为了以下 IP,并且辅DNS被改为1.1.1.1,基本可以确定您的家用路由器DNS被劫持篡改。
| IP地址 | |
|---|---|
122.9.187.125 | 8.140.21.95 |
| 101.37.71.80 | 47.102.126.197 |
118.31.55.110 | 47.109.22.11 |
| 47.113.115.236 | 47.109.47.151 |
| 47.108.228.50 | 39.106.3.116 |
| 47.103.220.247 | 139.196.219.223 |
| 121.43.166.60 | 106.15.3.137 |
2、如果您的路由器上配置的DNS服务器IP不在上方列表中,您可通过以下典型特征来确认其DNS劫持行为。
1)域名解析记录TTL 被修改为86400 秒,即域名解析记录都会被缓存1 天。
可以在一台能访问公网的终端(如Mac电脑或者Linux云服务器)中执行命令检查:dig @122.9.187.125 dnspod.cn
其中122.9.187.125为示例IP地址,您可将其替换为您的家用路由器DNS服务器的IP地址。
2)间歇性存在大量域名无法正常解析的问题,返回 NXDOMAIN+ 错误的SOA记录,而不是返回正常的A记录或者CNAME记录。
可执行命令检查:dig @122.9.187.125 test.ip.dnspod.net
其中122.9.187.125为示例IP地址,您可将其替换为您的家用路由器DNS服务器的IP地址。
3)DNS版本为unbound 1.16.2。
可执行命令检查:dig @122.9.187.125 version.bind chaos txt
其中122.9.187.125为示例IP地址,您可将其替换为您的家用路由器DNS服务器的IP地址。
如何应对?
如果确认自己已遇到了上述情况,建议尝试下面的解决方案:
对于家用路由器用户:
建议升级家用路由器固件,并修改DNS服务器为运营商递归DNS或119.29.29.29等知名公共DNS,以确保能够正常解析。
对于APP应用开发者:
如果您是 APP应用的开发者,可尝试通过接入移动解析HTTPDNS的方式绕开运营商的LocalDNS缓存,避免因LocalDNS劫持导致应用访问异常,点击了解详情,具体原理如下:
移动APP基于SDK快速开发,使用HTTP/HTTPS协议将域名解析请求发送到腾讯云的 HTTPDNS解析服务器,以获得准确的解析结果。支持多种加密方式,从而保证信息传输安全。
在HTTPDNS服务出现异常时,仍旧可以切换为DNS协议向运营商LocalDNS 发起解析请求。对于使用腾讯云的DNSPod云解析服务的域名,还可以实现数据联动,做到域名解析调整秒级生效。
D妹在此提醒大家,该隐患依然持续存在,务必注意网络安全,及时更新路由器固件和检查DNS设置,确保个人数据和网络安全不受侵犯。
不知道看到这篇文章的你是否也中招了?欢迎在评论区留言~
