劫持dns劫持

DNS劫持又称域名劫持是指在劫持的网络范围内拦截域名解析的请求分析请求的域名把审查范围以外的请求放行否则返回假的IP地址或者什么都不做使请求失去响应其效果就是对特定的网络不能反应或访问的是假网址。

目录1基本原理

2应对方法

3DNS劫持变种

4历史事件

5拓展阅读

1基本原理

DNS 域名劫持是把网络地址域名 以一个字符串的形式对应到真实的计算机能够识别的网络地址IP地址 以便计算机能够进一步通信传递网址和内容等。 由于域名劫持往往只能在特定的被劫持的网络范围内进行所以在此范围外的域名服务器(DNS)能够返回正常的IP地址高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址则可以直接用此IP代替域名后进行访问。 比如访问百度域名可以把访问改为202. 108.22.5从而绕开域名劫持。

2应对方法DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。此次由国内领先的DNS服务商114DNS率先发现的DNS劫持攻击黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面其宽带路由器的DNS就会被黑客篡改 因为该WEB页面没有特别的恶意代码所以可以成功躲过安全软件检测导致大量用户被DNS钓鱼诈骗。

由于一些未知原因在极少数情况下自动修复不成功建议您手动修改。 同时为了避免再次被攻击 即使修复成功用户也可按照腾讯电脑管家提示的方法修改路由器的登录用户名和密码。下面以用户常用的TP-link路由器为例来说明修改方法其他品牌路由器与该方法类似。

1.手动修改路由器设置

 1 在地址栏中输入 ht tp //192. 168. 1. 1 如果页面不能显示可尝试输入 ht tp//192. 168.0. 1

2 .填写您路由器的用户名和密码 点击“确定”

3 在“DHCP服务器—DHCP”服务中填写主DNS服务器为更可靠的114. 114. 114. 114地址备用DNS服务器为8.8.8.8如下图所示 点击保存即可。

2.修改路由器密码

 1 在地址栏中输入 ht tp //192. 168. 1. 1 如果页面不能显示可尝试输入 ht tp//192. 168.0. 1

2 .填写您路由器的用户名和密码路由器初始用户名为admin密码也是admin如果您修改过则填写修改后的用户名和密码 点击“确定”

3填写正确后会进入路由器密码修改页面在系统工具——修改登录口令页面即可完成修改原用户名和口令和2中填写的一致

预防DNS劫持

其实 DNS劫持并不是什么新鲜事物也并非无法预防百度被黑事件的发生再次揭示了全球DNS体系的脆弱性并说明互联网厂商如果仅有针对自身信息系统的安全预案就不足以快速应对全面而复杂的威胁。因此互联网公司应采取以下措施

1、互联网公司准备两个以上的域名一旦黑客进行DNS攻击用户还可以访问另一个域名。

2、互联网应该对应急预案进行进一步修正强化对域名服务商的协调流程。

3、域名注册商和代理机构特定时期可能成为集中攻击目标需要加以防范。

4、国内有关机构之间应该快速建立与境外有关机构的协调和沟通协助国内企业实现对此事件的快速及时的处理。

3DNS劫持变种

上周百度搜索上线了一个非常重要的策略如果发现有网站被植入恶意篡改用户路由DNS的代码时就会拦截页面打出提示据安全联盟的统计发现过万的网站被黑植入了路由DNS劫持代码这个数量非常之大。

过去一段时间知道创宇安全研究团队就捕获了至少5个变种。这类攻击的模式一般是攻击者黑下一批网站

攻击者往这批网站里植入路由DNS劫持代码各种变形

攻击者传播或坐等目标用户访问这批网站

用户访问这些网站后浏览器就会执行“路由DNS劫持代码”

用户的家庭/公司路由器如果存在漏洞就会中招

用户上网流量被“假DNS服务器”劫持并出现奇怪的广告等现象

虽然这次攻击主要针对Tp-Link路由器不过中招的路由不仅TP-Link对此安全联盟推出DNS劫持专题[1] 为网民及站长提供详细解决方案。

4历史事件时间事件

2013年5月6日史上最大规模DNS钓鱼攻击预估已致800万用户感染 以全网2亿用户进行估算每天至少有800万用户处于DNS钓鱼攻击威胁中[2]

2012年日本邮储银行、三井住友银行和三菱东京日联银行各自提供的网上银行服务都被钓鱼网站劫持

2010年1月12日 “百度域名被劫持”事件[3]

2009巴西最大银行遭遇DNS攻击 1%用户被钓鱼

[2]2013年5月6日据国内DNS服务提供商114DNS官方微博参考资料 114DNS官方微博消息新一轮DNS钓鱼攻击已经突破国内安全防线可能已经导致国内数百万用户感染。此攻击利用路由器的弱口令 以及路由器的web管理接口进行攻击通过Start_apply页面修改DNS服务器地址以实现钓鱼攻击此前DNS劫持曾致巴西最大银行瘫痪 用户可手动修改DNS为114. 114. 114. 114 或114. 114. 115. 115避免受到攻击。 114DNS平台负责人介绍114DNS为多个电信运营商与南京信风共建的超大型DNS平台为公众免费提供全国通用的DNS解析为企业提供高可靠权威DNS解析 同时为电信运营提供DNS应急灾备。 114DNS在电信运营商那关联的DNS异常监测系统率先发现了黑客集团发动的此次DNS钓鱼攻击。随后安全软件及服务商腾讯电脑管家(参考资料腾讯电脑管家官网)通过官方微博参考资料腾讯电脑管家官方微博对此消息予以了证实据腾讯电脑管家安全监测数据显示至少有4%的全网用户受到感染 以全网2亿用户进行估算每天至少有800万用户处于DNS钓鱼攻击威胁中。 114DNS及腾讯电脑管家对此次DNS劫持攻击进行了安全防御响应腾讯电脑管家已完成产品安全策略升级可以有效识别被黑客篡改的DNS并拦截此类DNS指向的钓鱼网站为用户提供修复方案并向广大用户发出了安全风险警告。

2012年据日本《日经电脑》报道 日本邮储银行、三井住友银行和三菱东京日联银行于2012年10月25日和10月26日分别发布公告提醒用户三家银行各自提供的网上银行服务都被钓鱼网站劫持 出现要求用户输入信息的虚假页面在登录官方网站后会弹出要求用户输入密码等的窗口画面本次虚假弹出式窗口页面的目的在于盗取用户网上银行服务的密码。这种弹出式窗口页面上还显示有银行的标志等乍看上去像真的一样。

DNS劫持曾制造2010年“百度域名被劫持”事件[3]2010年1月12日上午7时40分有网民发现百度首页登陆发生异常情况。上午8时后在中国内地大部分地区和美国、欧洲等地都无法以任何方式正常登陆百度网站而百度域名的WHOI S传输协议被无故更改 网站的域名被更换至雅虎属下的两个域名服务器部分网民更发现网站页面被篡改成黑色背景以及伊朗国旗 同时显示“This site has been hacked by Iranian Cyber Army” 该网站已被伊朗网军入侵字样以及一段阿拉伯文字然后跳转至英文雅虎主页这就是“百度域名被劫持”事件。

巴西最大银行曾遭遇DNS攻击 1%用户被钓鱼

2009年巴西一家最大银行Bandesco巴西银行 曾遭受DNS缓存病毒攻击成为震惊全球的““银行劫持案”。受到影响的用户会被重定向至一个假冒的银行网站该假冒网站试图窃取用户密码并安装恶意软件。 DNS缓存病毒攻击是利用互联网域名系统中的漏洞进行的没有及时打补丁的ISP很容易受到攻击。合法的IP会被某个网站给取代即使终端用户输入正确的网址也会被重定向至那些恶意网站。有近1%的银行客户受到了攻击如果这些客户注意到了银行SSL证书在被重定向时出现的错误提示就不会上当受骗。

5拓展阅读2013DNS劫持钓鱼事件 114DNS, 网络钓鱼钓鱼网站

词条图册

更多图册

◆

参考资料

1 安全联盟站长平台DNS劫持专题 安全联盟站长平台 [引用日期2013-11-19] 

2 史上最大规模“54DNS劫持”已得到有效遏制 中国广播网 [引用日期2013-05-23] 

3 百度域名被劫持黑客篡改DNS解析记录 新浪科技[引用日期2013-05-23] 

词条标签互联网网络计算机网络安全