Support

Home > Support > Help center > Common

DNS劫持

CloudXNS technical support 2014-12-10

DNS劫持是安全界常见的一个名词,即劫持了DNS服务器。意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。

DNS系统中一般有两种服务角色:递归DNS和授权DNS。本质上来说,授权DNS控制网站的解析,递归DNS只起缓存的作用。所以跟广大站长关系比较大的是授权DNS,也就是在域名注册商处填写的NS地址。而网民使用的则多是递归DNS。

几年前发生的“百度DNS劫持”事件,属于授权DNS劫持。黑客攻击了百度在域名注册商处的帐号,将baidu.com.的NS记录修改掉,相当于换了授权DNS。这属于从源头上控制了内容,从而使得所有的递归DNS被污染,所有网民都访问到错误的页面。这个时候如果用dig或者nslookup等工具检查,会发现所有DNS服务器的内容都是错误的。百度解决这个问题并不是简单地将 NS 记录修改回自己的授权DNS服务器就完成。修改完成之后,网民还需要等待所有的递归DNS缓存过期刷新数据之后,才能访问到正确的网站。

另外一种更为常见的,是针对递归DNS服务器的DNS劫持攻击。由于DNS系统采用了不可靠的UDP数据包进行通信,攻击者就有机会假冒授权DNS服务器,使用假的数据欺骗递归DNS。这种攻击更为常见的原是是攻击手法比较简单,只需要发数据包混淆递归DNS即可。

而前面的针对授权DNS劫持的攻击有两种方法,第一种是像百度一样,控制它在域名注册商处的帐号;第二种,入侵授权DNS的服务器,完全掌握授权DNS,这个难度还是比较大的。针对递归DNS的DNS劫持攻击通常是地域性的,也就是说,黑客攻击了某一个或者某几个递归DNS服务器。所以只有使用了该递归DNS的网民受到影响。使用dig或者nslookup测试会发现,某些递归DNS服务器结果是错误的,而某些是正确的。通常我们相信google的技术实力不会受到攻击,所以如果8.8.8.8返回的结果是正确的,就可以说明授权DNS服务是正常的,而只是某些递归DNS受到了攻击。

建议使用安全可靠的dns服务器做域名解析,下面是两组非常安全的dns地址:

8.8.8.8 ;8.8.4.4
114.114.114.114 ;114.114.115.115

Please and then reply

I want to say

Back to top
WeChat

Scan with WeChat, follow CloudXNS official account

>
QQ
Sina Microblog