在日常上网的时候,你是否也遇到过这样的境况:你明明在浏览器输入的是正规银行的网址,但跳转的页面一眼假。这可能是你遇到DNS劫持了。
DNS劫持是一种常见的网络攻击,它通过篡改域名解析记录,将用户引导至错误的IP地址,从而从事恶意行为。本文国科云将深入剖析DNS劫持的各种“症状”,并提供一些常见的应对策略。
一、DNS劫持的表现形式有哪些?
要应对DNS劫持,首先要做到准确识别。DNS劫持的表现形式有很多种,以下是几种最典型的情况:
1.网址正确,页面错误
这是最经典的劫持表现。你确定输入的网址是正确的(例如www.guokeyun.com),但打开的却是一个与目标网站毫不相干,通常是钓鱼网站、广告聚合页或博彩网站。
2.频繁的弹窗广告和页面跳转
在浏览正常网站时,不断弹出和当前网站内容无关的广告窗口,或者点击页面上的任何链接都会跳转到指定的广告页面或下载页面。
3.“此网站安全证书存在问题”警告
当你尝试访问一个本应使用HTTPS加密的网站时,浏览器突然弹出红色警告,提示网站的安全证书无效、过期或与域名不匹配。这可能是你被劫持到了一个假冒网站,该网站无法提供由可信证书颁发机构签发的合法证书。
4.网络速度异常缓慢或出现特定错误
某些DNS劫持会导致解析过程变慢,或者将你指向一个已经宕机或位于国外的服务器,从而导致网页加载速度极其缓慢。有时,你可能会遇到只有特定网站无法访问,比如Google、YouTube,而其他网站正常的情况,这可能是针对特定域名的劫持。
5.非本地区的搜索结果和广告
你搜索任何关键词,返回的搜索结果或者页面嵌入的广告,都明显和你所在的地理位置不符。比如,你在北京,却总是看到针对美国加州服务的广告。这是因为DNS解析被指向了位于其他地区的服务器。
6.软件报毒与网络异常
安全软件频繁拦截到来自未知域名或IP的网络攻击、恶意脚本下载请求。这可能是DNS劫持将你导向了托管恶意软件的服务器。
二、DNS劫持的原理与类型
除了认识DNS劫持的表现形式外,要想正对应对,我们还要了解它的原理,弄清楚它的“工作机制”。
DNS可以看作是互联网的“电话簿”,它负责将我们人类容易记忆的域名(如www.guokeyun.com)翻译成计算机能够识别的IP地址(如142.251.42.206)。DNS劫持的原理,就是篡改了这本“电话簿”里的记录。
根据攻击者的不同,DNS劫持主要分为以下几类:
本地DNS劫持:攻击者通过恶意软件感染用户的电脑或路由器,直接修改设备上的DNS服务器设置。此后,设备的所有域名解析请求都会被发送到攻击者控制的恶意DNS服务器。
路由器DNS劫持:路由器是家庭或办公网络的总出口。攻击者可能利用路由器的弱密码漏洞或CSRF漏洞,远程登录路由器管理后台,并将其DNS设置修改为恶意地址。这样,所有连接该路由器的设备都会受到影响。
中间人攻击:在公共Wi-Fi等不安全的网络环境中,攻击者可以窃听网络流量,并伪造DNS响应包,抢在正规DNS服务器之前把错误的IP地址返回给用户。
运营商级DNS劫持:某些不负责任的网络服务提供商(ISP)为了商业利益或政策管制需要,会拦截用户的DNS查询,并将特定域名的解析结果指向其他页面或无法打开。
DNS服务器攻击:攻击者直接对递归DNS服务器或域名注册商发起攻击,篡改其缓存记录、NS记录或者是DNS解析记录,导致所有使用该服务器的用户被导向错误地址。
三、如何有效应对DNS劫持?
了解了DNS劫持的表现形式和工作原理后,下面我们就可以针对性地采取一些应对措施了。国科云专家从个人客户端和企业网站侧两方面分别介绍下应对策略。
(一)个人用户
1.检查并清理本地设备
查杀病毒木马:立即使用权威的杀毒软件和安全工具对电脑进行全面扫描,清除可能存在的恶意程序。
检查本地Hosts文件:在Windows系统中,Hosts文件的路径为C:\Windows\System32\drivers\etc\hosts。用记事本打开,检查是否有异常的非本地回环地址(127.0.0.1之外)与常见域名绑定的记录,如有则删除。
2.检查并重置路由器DNS
登录路由器管理界面:通常通过在浏览器输入192.168.1.1或192.168.0.1访问,账号密码详见路由器底部标签或说明书。
查找DNS设置:在“网络设置”、“WAN设置”或“DHCP服务器”等菜单中,找到DNS服务器地址选项。
修改为可信DNS:将其手动修改为国内外知名的、纯净的公共DNS服务地址。推荐使用:
国内推荐:阿里云223.5.5.5和223.6.6.6;腾讯云119.29.29.29;百度180.76.76.76。这些DNS通常响应速度快,且承诺无劫持。
国际推荐:谷歌8.8.8.8和8.8.4.4;Cloudflare1.1.1.1。
重启路由器:修改保存后,重启路由器以使设置生效。最后,最好再修改一下路由器的管理员密码,确保足够复杂。
3.采用更安全的网络连接方式
使用HTTPS:务必确保在登录账号、进行支付等敏感操作时,浏览器地址栏显示有锁形图标和“https://”前缀。HTTPS能对传输数据进行加密,即使DNS被劫持导致连接到了错误IP,攻击者也无法轻易解密你的通信内容。
谨慎使用公共Wi-Fi:在咖啡馆、机场等场所,尽量避免在公共Wi-Fi下进行敏感操作。
4.启用DNS over HTTPS(DoH)或DNS over TLS(DoT)
这是应对DNS劫持最有效的方式。传统的DNS查询是明文的,容易被拦截和篡改。DoH和DoT技术则将DNS查询请求通过加密的HTTPS或TLS协议进行传输,相当于为你的“电话簿查询”过程加装了一个防窥屏。
浏览器设置:现代浏览器如Chrome、Firefox、Edge都内置了DoH支持。你可以在浏览器的“设置”->“隐私和安全”->“安全”中,找到并开启“使用安全DNS”的选项,并指定一个支持DoH的DNS服务商。
系统级设置:在Windows11/10等操作系统中,也可以在网络适配器属性里直接配置DoH。
(二)企业与网站管理员
对于企业而言,DNS劫持的后果更为严重,可能导致品牌声誉受损、客户数据泄露乃至重大经济损失。可以采用以下方式进行应对:
1.为网站部署SSL证书:这不仅是对用户负责的表现,也能有效抵御“中间人”攻击。当用户访问你的HTTPS网站时,浏览器会验证证书的有效性,一旦证书不匹配,就会发出明确警告。
2.实施DNSSEC:DNSSEC是一种为DNS解析提供来源验证和数据完整性的安全协议。它通过数字签名的方式,确保接收到的DNS响应确实来自该域名的合法管理者,且在传输过程中未被篡改,是企业端应对DNS劫持最有效的方式之一。
3.加强域名注册商和DNS服务商的安全:
使用强密码与双因素认证:为你的域名管理账户和DNS托管账户设置独一无二的高强度密码,并开启双因素认证,防止账户被暴力破解。
选择信誉良好的服务商:选择那些提供高级安全功能且历史清白的知名注册商和DNS服务商(如,国科云、阿里云等)。
4.内部网络防护:企业应部署防火墙,并强制将内部网络的DNS请求指向受信任的内网DNS服务器或安全的公共DNS,同时封锁对外部不可信DNS服务器的访问,防止终端设备被劫持。
以上,就是国科云关于DNS劫持表现形式、工作原理以及应对策略的详细介绍,希望对大家加强DNS解析安全防护有所帮助。国科云是中国科学院控股有限公司旗下域名服务商,深耕域名安全领域二十五年,通过智能解析、高防DNS、DNSSEC、域名监测等技术手段以及一对一专属客服、全天候售后支持等服务,构建起多层级纵深式安全防御体系,全力保障客户的DNS解析安全。【点击链接,可免费试用国科云DNS安全解决方案】
推荐阅读:
