一、什么是DNS劫持?
我们直到DNS负责将域名翻译成由计算机识别的IP地址,从而完成网络的链接访问。但如果通过某种技术手段,取得域名的解析控制权,修改域名的解析记录,将该域名对应的IP地址指向非法地址或其他受控制的IP地址。那么当人们对该域名发起访问时,就会跳转到受控的虚假网站。这种情况就是DNS劫持。
DNS劫持可以将用户诱导至虚假站点,从而达到获取用户信息,谋取非法利益的目的。今年6月份美国以经济制裁为由,封禁多个伊朗国家网站,用户访问这些网站就会跳转到由FBI控制的站点。在这个制裁过程中,美国所采用的技术手段就是DNS劫持。
二、DNS劫持具体有哪些技术手段呢?
1、DNS缓存感染
攻击者使用DNS请求将数据放入脆弱的DNS服务器的缓存。然后这些缓存信息在用户进行DNS访问时返回用户,将对通常的域名的访问引导到入侵者设定的钓鱼、挂马等页面,或通过伪造邮件或其他server服务取得用户密码信息会给客人带来进一步的侵害。
2、DNS信息劫持
TCP/IP系统避免以诸如序列号等各种方式插入钓鱼数据,但是入侵者可以通过截取客户端与DNS服务器的交互来推测服务器响应于客户端的DNS查询ID。每个DNS报告包括相关联的16位ID号,并且DNS服务器从该ID号获取请求源位置。攻击者在DNS服务器前向用户发送虚假应答,欺骗客户访问恶意网站。
3、DNS重定向
攻击者如果将权威DNS服务器重定向到恶意DNS服务器,那么被劫持域名的解析就完全置于攻击者的控制之下。
4、盗用DNS服务器
在该攻击中,攻击者不仅可以破坏DNS服务器还可以改变DNS记录,将DNS请求重定向到恶意网站。
5、中间人(MiTM)DNS攻击
在DNS劫持中还有一种类型是,攻击者执行中间人(MiTM)攻击以截断用户与DNS服务器之间的通信,并向恶意网站重定向用户,以提供不同的目标IP地址。
6、流氓DNS服务器
在此攻击中,攻击者可以破解DNS服务器,并更改DNS记录以将DNS请求重定向到恶意站点。
当你电脑经常莫名跳出广告怎么办?有没有想过是怎么回事?这有可能是你的电脑dns被劫持症状。怎么看dns劫持?一般来说,dns被劫持有2种情况,一种是路由器dns被劫持,另外一种是电脑dns被劫持。针对这两种dns劫持,下面分别介绍下如何查看。
dns劫持?
一、怎么看电脑dns是否被劫持
1、在电脑桌面右下角的网络图标上点击鼠标右键,在弹出的选项中,点击“打开网络和共享中心”。
2、在打开的网络和共享中心,点击已经连接的网络名称,之后会打开网络状态,如下图所示。
3、然后点击网络状态下面的“属性”,在弹出的网络属性对话框,先选中“Internet版本协议4(TCP/IPv4)”,然后再点击下方的“属性”,如下图所示。
4、最后就可以看到电脑设置的dns地址了,如果自己之前没有设置过,默认是自动获取的(如左图),如果之前为设置过电脑dns地址,但这里显示是手动设置的陌生dns地址,则说明电脑dns地址遭篡改(如下右图)。
如果确认电脑dns地址遭到篡改,可以改成自动获取,然后点击底部的“确定”保存即可。
二、怎么看路由器dns是否被劫持
除了电脑dns可能会被篡改外,路由器dns也很容易被黑客篡改,下面以TP-Link路由器为例,教大家如何查看路由器dns是否被篡改。
1、首先在浏览器打开路由器登陆地址192.168.1.1(不同品牌路由器默认地址也有可能不同),然后使用管理员账号登陆,如下图所示。
2、登陆路由器后台管理界面后,点击进入【网络参数】下面的“WAN口”设置,在WAN口设置右侧界面,点击底部的“高级设置”,如下图所示。
3、在打开的PPPoE高级设置界面,就可以看到路由器默认的dns地址了,如下图所示。
如果路由器dns地址遭到篡改,建议立即设置,将手动设置dns服务器前面的勾去掉,改为自动获取,并更改路由器密码,完成后重启路由器。
dns劫持?以上就是两种dns劫持的可能,千万别小看了dns劫持。dns劫持容易导致用户网银等信息泄露,用户购物时可能会被转入到钓鱼网站,对我们上网会产生严重的危害。
