黑客辞典：什么是DNS劫持？-CSDN博客

本文链接：https://blog.csdn.net/Hacker_gangg/article/details/135252727

维基解密事件再次引发DNS安全关注

想要保护你的互联网资源免受黑客干扰是非常困难的。就像上周维基解密发生的事件所显示的一样，有些黑客技术可以在不发生直接接触的情况下接管你的整个网站。相反，它会利用互联网的管道，劫持你的网站访客甚至其他数据，如在传送进来的电子邮件达到你的网络之前将其截获。

上周四，访问维基解密网站的用户发现，网站上并没有像以往一样显示任何收集到的机密信息／新闻，而是一则由“OurMine”黑客组织发布的讽刺消息，上面写道，

嗨，这是OurMine，别担心我们只是进行一次测试… blablablab，哦等等，这不是一个安全测试！维基解密，记得当年你挑战我们，要求我们攻击你的时候？Anonymou，记得当年你试图用伪造的信息来攻击我们吗？现在我们真的来了，并且打败了你们！

之后，维基解密创始人朱利安·阿桑奇（Julian Assange）在Twitter上解释称，维基解密网站被黑客通过其DNS（或域名系统）入侵了，显然他们是使用了一种存在已久的称为“DNS劫持”技术。正如维基解密注意到的那样，它的服务器并没有被黑客攻击。相反，OurMine利用了互联网本身的一个基本层，将维基解密网站的访客重定向到了黑客选择的目的地中。

何为“DNS劫持”

DNS（域名系统）的作用是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址），以便计算机能够进一步通信，传递网址和内容等。域名服务器上会保存这样一堆域名记录（每条记录包含“域名”和“IP地址”）。当收到域名查询的时候，域名服务器会从这堆记录中找到对方想要的，然后回应给对方。例如，当你在浏览器中输入“google.com”的域名时，由第三方（如网站的域名注册商）托管的DNS服务器就会将其转化为托管该网站的服务器的IP地址。

而DNS劫持正是利用DNS作为“互联网的电话簿”的作用，将目标网站的用户重定向到自己想要用户访问的网站服务器的IP地址中。

曾经撰写过大量关于DNS劫持方面文章的F5 networks公司安全研究人员Raymond Pompon表示，

基本上，DNS就像是你的身份标签，是别人找到你的依据。但是，一旦别人在你身上插入虚假的标签，属于你的所有东西都会被劫持到其他地方，比如你所有的网络流量、电子邮件甚至你的服务器都会被指向一个虚假的目的地。

DNS劫持大事件

互联网依赖于DNS，而DNS却非常脆弱。早在2009年，DNS劫持就曾导致巴西最大的银行——巴西银行近1%的客户受到攻击致使账户被盗。据悉，黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面，其宽带路由器的DNS就会被黑客篡改，因为该WEB页面设有特别的恶意代码，所以可以成功躲过安全软件检测，导致大量用户被DNS钓鱼诈骗。

2010年1月，发生了著名的“百度域名劫持”事件。当时，在中国内地大部分地区和美国、欧洲等地都无法以任何方式正常登陆百度网站，而百度域名的WHOIS传输协议被无故更改，网站的域名被更换至雅虎属下的两个域名服务器，部分网民更发现网站页面被篡改成黑色背景以及伊朗国旗，同时显示“This site has been hacked by Iranian Cyber Army”（该网站已被伊朗网军入侵）字样以及一段阿拉伯文字，然后跳转至英文雅虎主页。

2012年日本邮储银行、三井住友银行和三菱东京日联银行各自提供的网上银行服务被钓鱼网站劫持, 出现要求用户输入信息的虚假页面，旨在盗取用户网上银行服务的密码。

2013年，国内DNS服务提供商114DNS称，新一轮DNS钓鱼攻击已经突破国内安全防线，可能已经导致国内数百万用户感染，堪称史上最大规模DNS钓鱼攻击。

同在2013年，《纽约时报》和Twitter的官方网站也遭受黑客DNS劫持攻击，原因是他们共同的DNS服务商MelbourneIT遭遇了网络钓鱼攻击，泄露了旗下某位经销商的登录信息，攻击者借此篡改了两个网站的服务器指向IP。

2014年1月，我国出现大范围DNS故障，一些顶级域名的根服务器也出现故障，致使大部分网站受影响。

2016年10月，黑客使用DNS劫持技术成功控制一家巴西银行的所有业务长达5小时，该银行的36个域名（包括线上、移动、销售点、融资和并购等功能）、企业电子邮箱等全体沦陷。据悉，黑客首先入侵了这家银行的DNS提供商Registro.br，随后控制该银行的DNS并将客户重定向到一个含有恶意软件的钓鱼网站中。

缓解措施

可以说，对于维基解密和上述受害主体所遭遇的DNS劫持攻击，目前并没有万无一失的保护措施可以化解，但是仍然有一些安全策略可以最大程度的降低这种威胁。

遭遇劫持后，高级用户可以在网络设置把DNS指向这些正常的域名服务器，以实现对网址的正常访问。此外，在选择域名注册商方面，网站管理员可以选择那些“提供多因素身份验证”的域名注册商，以求最大限度的保护自身域名安全。其他防范措施还包括：

域名备份：有条件的企业可以准备两个或以上的域名，一旦黑客进行DNS攻击，用户还可以访问其他域名；
提高安全意识：DNS劫持已经越来越司空见惯，无论是用户还是相关企业都需要更多地储备相关方面的知识；
专门应急小组：企业应该有专门用于关注域名和DNS问题的事件响应小组，以便他们能够更快地检测到这些变化并及时进行处理；
加强合作：互联网厂商不能仅有针对自身信息系统的安全预案，这样不足以快速应对全面而复杂的威胁，还应该强化与域名注册／服务商间的协作流程。