关于DNS攻击那点事儿~ （DNS劫持 vs ISP劫持）

最近研究钓鱼安全问题，看到关于DNS的一些攻击，顺手研究了一下，发现各类文章说的是层出不穷，简单总结了一下，希望大家可以更好更容易的记住要点。

英文原文的话，我觉得这篇还不错，简单明了，一目了然：https://www.imperva.com/learn/application-security/dns-hijacking-redirection/

DNS攻击，主要分两种，一种称之为DNS 劫持（DNS hijacking），另一种称之为DNS缓存毒药（DNS poisoning）。两种攻击其实都可以成为DNS欺骗（DNS spoofing）。

在讲DNS攻击之前，先简单说一下DNS是怎么回事。

 

我们在访问网站的时候，其实是需要目标网站的IP地址。但是IP地址过于复杂，所以有了DNS这么个东西。 DNS （Domain Name System）域名系统。说简单点，你可以理解成IP地址和域名映射的这么一个系统。 比如当你想访问taobao的时候，你在浏览器地址栏输入www.taobao.com，随后你的电脑会发一个请求给DNS服务器，问taobao的IP地址是什么。DNS服务器在自己的映射表中查到相应的IP然后返回给你，从而让你实现了网上冲浪的目的。

对于用户来说，DNS让我们可以更方面的去浏览各类网站，因为记住一个网站的名字远比记住一大串没有规律的数字更容易。比如你可以很容易记住sina.com。 但是你却很难记住他的网址是47.246.47.222。当然你可能更意识不到，其实我这串数字是瞎打的 :-)

OK! 那么DNS攻击到底是怎么回事呢？

 

DNS劫持，说简单点，就是DNS服务器被黑了。攻击者把你映射表的内容做了任意妄为的修改，比如你想访问taobao，你输入taobao以后，你的DNS服务器返回给你其他网站的地址（因为映射表被修改了），最后你毫无征兆的跳到了这个网站上。英文管这样的攻击也称为 DNS redirection。

一般DNS 劫持都会配合钓鱼，而且这种钓鱼比较流氓。 普通的钓鱼你可以从URL上识别出来。但是这样的钓鱼URL是一模一样的，你很难分辨出来。你还是上taobao，你发现你访问的页面和你平时访问的taobao页面一模一样，而且网址也依然是www.taobao.com。但是实际上，攻击者已经把你的访问请求映射到他的页面上，你目前访问的页面是他早已经搭建好的假taobao页面。但是小白的你可能一无所知，你直到把所有的信息都上传以后，可能才发现不妥，但是已经为时已晚，攻击者已经拿到了所有他想要的东西:-(

英文的原文中说了四种DNS劫持的方法：

  - 本地DNS劫持（Local DNS hijacking）：每台电脑都有自己默认的DNS表，攻击者通过一些流氓软件，强行给你的DNS表加上他的映射从而实现他的目的。

  - 路由器DNS劫持（Router DNS hijacking）：很多人设置路由器的时候都用默认的账户密码，攻击者可以很轻易的登录你的路由器，然后在路由器中设置DNS列表。

  - 中间人DNS劫持 （Man-in-the-middle DNS hijacking）: 这个很好理解，你的所有流量都经过一个中间人，那这个中间人就可以肆意妄为的控制你访问。简单地说，他想让你访问哪你就只能访问哪。

  - 流氓DNS服务（Rouge DNS server）：攻击者黑掉了DNS服务器，直接在DNS服务器中的映射表上有恶意修改。（这个一般难度比较大）

其实，在我看了几篇别人的总结后，我觉得还有一种也要提一下：

  - 运营商劫持（ISP hijacking）：这种劫持，一般来说对你的个人信息不会有任何的危害，因为运营商劫持一般只是在网页中插入一块广告，从而让他们达到谋取广告利润的目的。比如，有的时候当你访问网站的时候，右下角的弹窗小广告没准就是他们的‘杰作’。

简单形象地总结一下恶意的DNS劫持和运营商劫持的区别。就好比，你去医院：

- 你想去看牙科，结果给你拉到了妇科，或者直接给你拉到了黑诊所的牙科。 （恶意DNS劫持）

- 你还是想去牙科，最后你也去成了牙科，但是给你发了一堆小广告。 （运营商劫持）

 

DNS缓存毒药，这个也算是一种DNS欺骗，但是他不依靠去劫持你的DNS请求。英文原话是 wiouth relting on DNS hijacking (physically taking over the DNS setting)。 因为在DNS服务器，路由器，以及你自己的电脑上，都会有一些DNS的缓存（cache）。攻击者直接对这些缓存进行恶意的修改就可以实现把你带到妇科的目的。

 

总之，以上这些攻击，就都是流氓~