DNS劫持是安全界常见的一个名词,劫持了DNS服务器,意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。
DNS 系统中一般有两种服务角色:递归 DNS 和授权 DNS。本质上来说,授权 DNS 控制网站的解析;递归 DNS 只起缓存的作用。所以跟广大站长关系比较大的是授权 DNS,也就是在域名注册商处填写的 DNS 地址。而网民使用的则是递归 DNS。
几年前发生的“百度 DNS 劫持”事件,属于授权 DNS 劫持。黑客攻击了百度在域名注册商处的帐号,将 baidu.com. 的 NS 记录修改掉,相当于换了授权 DNS。这属于从源头上控制了内容,从而使得所有的递归 DNS 被污染,所有网民都访问到错误的页面。这个时候如果用 dig 或者 nslookup 等工具检查,会发现所有 DNS 服务器的内容都是错误的。百度解决这个问题并不是简单地将 NS 记录修改回自己的授权 DNS 服务器就完成。修改完成之后,网民还需要等待所有的递归 DNS 缓存过期刷新数据之后,才能访问到正确的网站。
另外一种更为常见的,是针对递归 DNS 服务器的 DNS 劫持攻击。由于 DNS 系统采用了不可靠的 UDP 数据包进行通信,攻击者就有机会假冒授权 DNS 服务器,使用假的数据欺骗递归 DNS。这种攻击更为常见的原是是攻击手法比较简单,只需要发数据包混淆递归 DNS 即可。而前面的针对授权 DNS 劫持的攻击有两种方法,第一种是像百度一样,控制它在域名注册商处的帐号;第二种,入侵授权 DNS 的服务器,完全掌握授权 DNS,这个难度还是比较大的。针对递归 DNS 的 DNS 劫持攻击通常是地域性的,也就是说,黑客攻击了某一个或者某几个递归 DNS 服务器。所以只有使用了该递归 DNS 的网民受到影响。使用 dig 或者 nslookup 测试会发现,某些递归 DNS 服务器结果是错误的,而某些是正确的。通常我们相信 google 的技术实力不会受到攻击,所以如果 8.8.8.8 返回的结果是正确的,就可以说明授权 DNS 服务是正常的,而只是某些递归 DNS 受到了攻击。
建议使用安全可靠的dns服务器做域名解析,下面是两组非常安全的dns地址: 8.8.8.8 ;8.8.4.4 114.114.114.114 ; 114.114.115.115
DNS 系统中一般有两种服务角色:递归 DNS 和授权 DNS。本质上来说,授权 DNS 控制网站的解析;递归 DNS 只起缓存的作用。所以跟广大站长关系比较大的是授权 DNS,也就是在域名注册商处填写的 DNS 地址。而网民使用的则是递归 DNS。
几年前发生的“百度 DNS 劫持”事件,属于授权 DNS 劫持。黑客攻击了百度在域名注册商处的帐号,将 baidu.com. 的 NS 记录修改掉,相当于换了授权 DNS。这属于从源头上控制了内容,从而使得所有的递归 DNS 被污染,所有网民都访问到错误的页面。这个时候如果用 dig 或者 nslookup 等工具检查,会发现所有 DNS 服务器的内容都是错误的。百度解决这个问题并不是简单地将 NS 记录修改回自己的授权 DNS 服务器就完成。修改完成之后,网民还需要等待所有的递归 DNS 缓存过期刷新数据之后,才能访问到正确的网站。
另外一种更为常见的,是针对递归 DNS 服务器的 DNS 劫持攻击。由于 DNS 系统采用了不可靠的 UDP 数据包进行通信,攻击者就有机会假冒授权 DNS 服务器,使用假的数据欺骗递归 DNS。这种攻击更为常见的原是是攻击手法比较简单,只需要发数据包混淆递归 DNS 即可。而前面的针对授权 DNS 劫持的攻击有两种方法,第一种是像百度一样,控制它在域名注册商处的帐号;第二种,入侵授权 DNS 的服务器,完全掌握授权 DNS,这个难度还是比较大的。针对递归 DNS 的 DNS 劫持攻击通常是地域性的,也就是说,黑客攻击了某一个或者某几个递归 DNS 服务器。所以只有使用了该递归 DNS 的网民受到影响。使用 dig 或者 nslookup 测试会发现,某些递归 DNS 服务器结果是错误的,而某些是正确的。通常我们相信 google 的技术实力不会受到攻击,所以如果 8.8.8.8 返回的结果是正确的,就可以说明授权 DNS 服务是正常的,而只是某些递归 DNS 受到了攻击。
建议使用安全可靠的dns服务器做域名解析,下面是两组非常安全的dns地址: 8.8.8.8 ;8.8.4.4 114.114.114.114 ; 114.114.115.115
