五九盾
首页 / 新闻公告
业内
DNS劫持原理,网站遭遇域名劫持的处理办法
2022-10-09 18:28:15
        DNS劫持又称域名劫持,是指在被劫持的网络范围内拦截域名解析请求,分析请求的域名,并释放超出审查范围的请求,否则会返回假IP地址或不做任何事情使请求无响应。效果是特定网络无法访问或者是假网址,隐藏IP,让你的服务器不再“裸奔”。
        
         DNS域名劫持的几种方法及解决方案
        DNS劫持症状
        在某些地区,成功连接宽带后,某些地区的用户首次打开任何页面,都会指向ISP提供的“Telecom Vega Star”、“Netcom Yellow Pages Ads”等内容页面。这些都是DNS劫持。
         DNS劫持原理
        DNS(Domain Name System)的作用是将网络地址(域名,以字符串的形式)映射到真实计算机可以识别的网络地址(IP地址),使计算机可以进一步通信,由于域名劫持只能在特定的被劫持网络范围内进行,因此超出该范围的域名服务器(DNS)可以返回正常的IP地址。高级用户可以在网络设置中将 DNS 指向这些普通的域名服务器。实现对URL的正常访问。所以域名劫持通常伴随着措施——封锁正常DNS的IP。
        
         DNS域名解析流程
        1.输入网址
        2、电脑向本地DNS服务器发送DNS请求(本地DNS服务器一般由网络接入商、中国移动、电信等提供)
         3、本地服务器查询缓存记录,有结果直接返回。如果没有,请查询 DNS 根服务器。 (根服务器不记录具体域名和IP地址的关系)
         4.告诉本地DNS服务器域服务器地址(这里是.com)
         5.本地服务器向域服务器发出请求
        6. 域服务器将域名解析服务器的地址告诉本地DNS服务器
        7.本地服务器向解析服务器发出请求
        8.接收域名与IP地址的对应关系
        9、本地服务器将IP地址发送给用户电脑,并保存对应关系以供下次查询
        DNS,域名系统,是一个分布式数据库,在互联网上将域名和IP地址相互映射。
        
         DNS 劫持的后果
        大规模DNS劫持的结果往往是网络断开。由于大型网站的流量太大,钓鱼网站的服务器可能无法处理大流量,瞬间瘫痪。网友看到的结果是页面打不开。网上购物和网上支付可能会被恶意引导到其他网站,增加了个人账户泄露的风险。恶意广告出现在网站上。轻微影响上网速度,严重时无法上网。
        递归DNS获取到一个域名的IP地址后,将所有信息回复给源地址,此时的源地址就是攻击者的IP地址。如果攻击者有足够多的肉鸡群,受害者的网络可能会被拖到中断。
        利用DNS服务器攻击的一个重要挑战是攻击者隐藏行踪,因为他不直接与被攻击主机通信,使受害者难以追踪攻击的原始来源。一个比较好的解决方案是取消DNS服务器中允许所有人查询URL的递归功能。
         1、DNS缓存感染
        攻击者使用 DNS 请求将数据放入易受攻击的 DNS 服务器的缓存中。这些缓存的信息会在客户端访问DNS时返回给用户,使用户的客户端对正常域名的访问被定向到入侵者设置的页面进行挂马、钓鱼等,或者通过假冒创建邮件等服务器服务获取用户密码信息,导致客户进一步违规。
         2.DNS信息劫持
        TCP/IP系统原则上避免了通过序列号等方式插入假数据,但如果入侵者监听到客户端与DNS服务器的对话,就可以猜出服务器响应客户端的DNS查询ID .
        每条DNS报文都包含一个相关的16位ID号,DNS服务器根据这个ID号获取请求源位置。
        攻击者在 DNS 服务器之前向用户发送虚假响应,从而诱骗客户端访问恶意网站。假设当向域名服务器提交的域名解析请求的数据包被拦截时,按照拦截者的意图,将虚假的IP地址作为响应消息返回给请求者。这时,原请求者会将假IP地址连接为它要请求的域名。显然,它在别处被骗了,根本无法连接到它想连接的域名。
         3.DNS重定向
        如果攻击者将 DNS 名称查询重定向到恶意 DNS 服务器。被劫持的域名的解析则完全在攻击者的控制之下。
         4.ARP欺骗
        ARP攻击是通过伪造IP地址和MAC地址来实现ARP欺骗,可以在网络中产生大量的ARP流量来阻塞网络。攻击者只要不断发送伪造的ARP响应报文,就可以改变目标主机ARP缓存中的IP。 - MAC 条目,导致网络中断或中间人攻击。
         ARP攻击主要存在于局域网络中。如果局域网中的某台计算机感染了ARP木马,那么感染了ARP木马的系统就会试图通过“ARP欺骗”来拦截网络中其他计算机的通信信息,从而导致网络故障。与计算机中的其他计算机通信失败。 ARP 欺骗通常在用户办公室进行在网络中,用户对域名的访问被错误定向,但是IDC机房被入侵后,攻击者也可能使用ARP包压制正常主机,或者压制DNS服务器,李代涛僵硬,所以访问方向是错误的。
        DNS域名劫持原理域名服务器劫持的原理DNS域名遭劫持的后果