DNS劫持,是指通过攻击域名解析服务器(DNS)或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址(网站)的目的。
很显然dns劫持并不是长久的,一旦被网站运营者发现,解决后劫持将不再出现。以下是DNS劫持的工作原理和解决方案:
通常来说存在三种情况:
路由器被入侵
DNS服务被入侵
运营商流量劫持
鉴于运营商方面有时沟通无果,本文只讨论前两种情况。
DNS劫持应该优先排查好主机方面的问题,如DNS配置有无问题,本地hosts文件是否被篡改过,浏览器设置是否被改动,前两种情况可以直接查看,浏览器设置问题可以使用360、火绒等杀软直接进行扫描并修复。
路由器被入侵导致的DNS劫持应该是最常见的场景,由于某些路由器可能映射管理端口到外网,并且有可能存在弱口令和RCE的问题,所以遇到DNS劫持的情况,应当首先更换路由器设备(当前,肯定要换不同的款式),然后查看情况是否解决,如果解决问题,那么针对原路由的口令以及后门RCE漏洞等进行分析,出具相关报告。
如果仍未解决问题,那么考虑DNS服务器是否遭受入侵。
登录DNS服务器,查看DNS配置是否存在问题,若发现被恶意更改,则确认该事件是由于DNS服务器遭受入侵导致,需要使用杀软进行病毒查杀扫描,可以参考上篇文章中的主机处理流程。