聊一聊DNS劫持那些事

做爲《DNS攻擊防範科普系列》的最後一篇，今天咱們來好好聊聊DNS劫持。先回顧一下DNS劫持的概念？DNS劫持即經過某種技術手段，篡改正確域名和IP地址的映射關係，使得域名映射到了錯誤的IP地址，所以能夠認爲DNS劫持是一種DNS重定向攻擊。DNS劫持一般可被用做域名欺詐，如在用戶訪問網頁時顯示額外的信息來賺取收入等；也可被用做網絡釣魚，如顯示用戶訪問的虛假網站版本並不是法竊取用戶的我的信息。
那DNS劫持到底有多大的危害呢？咱們來看兩個真實的大事件：

DNS劫持大事記

事件一、《AWS route53 BGP路由泄漏事件》

• 事件危害：據不徹底統計，DNS劫持致使兩個小時內有多個用戶的以太坊錢包被轉帳清空，共計至少13000美圓的資產被黑客盜取。
• 事件還原： 事件發生在2018年4月24日。黑客針對四段分配給AWS，本應做爲AWS route53 DNS服務器服務地址的IP空間(205.251.192.0/23, 205.251.194.0/23, 205.251.196.0/23, 205.251.198.0/23)發佈了虛假的BGP路由，致使在BGP泄漏的兩個小時期間，本應該AWS route53 DNS服務器的DNS查詢都被重定向到了黑客的惡意DNS服務器。且黑客DNS劫持的目標十分明確，惡意DNS服務器只響應對myetherwallet.com的查詢，其餘域名的查詢均返回SERVFAIL。一旦用戶沒有注意「網站不安全」的提示而訪問myetherwallet.com登陸本身的以太坊錢包，黑客就能夠輕易獲取用戶的私鑰進而竊取用戶的數字貨幣資產。正常狀況的DNS，和劫持後的DNS的狀況，請參考以下攻擊示意圖（來自cloudflare博客）：

正常狀況：

BGP泄漏後：

事件二、《巴西銀行釣魚事件》

• 事件危害：黑客誘導本來想訪問正常銀行網站的受害者訪問到釣魚網站，並惡意竊取受害者的銀行帳目密碼信息。
• 事件還原：事件發生在2018年。黑客利用D-Link路由器的漏洞，入侵了至少500個家用路由器。黑客入侵後更改受害者路由器上的DNS配置，將受害者的DNS請求重定向到黑客本身搭建的惡意DNS服務器上。黑客入侵後更改受害者路由器上的DNS配置，將受害者的DNS請求重定向到黑客本身搭建的惡意DNS服務器上，最終誘導本來想訪問正常銀行網站的受害者訪問到釣魚網站，並惡意竊取受害者的銀行帳目密碼信息。

圖片參考：bankinfosecurity

上面兩個案例都是觸目驚心啊。接下來咱們來介紹一下黑客們是怎麼作到DNS劫持的？

DNS解析原理

介紹劫持原理前，你須要先了解典型的DNS解析流程。

客戶端發起遞歸DNS請求，本地遞歸DNS(大多數狀況下爲運營商DNS)或者公共DNS經過迭代查詢請求多級的DNS權威服務器，並最終將查詢結果返回給客戶端。能夠看到，一次完整的DNS查詢：
• 鏈路長。查詢過程包含屢次，多級的網絡通訊。
• 參與角色多。查詢過程涉及客戶端，DNS遞歸服務器，權威服務器等角色。 在一次完整DNS查詢鏈路的各個環節，其實都有可能被DNS劫持，下面的章節會逐一分析各類類型的DNS劫持。

DNS劫持分類

咱們按照客戶端側--遞歸DNS服務器--權威DNS服務器的路徑，將DNS劫持作以下分類：

【1、本地DNS劫持】

客戶端側發生的DNS劫持統稱爲本地DNS劫持。本地DNS劫持多是：

1. 黑客經過木馬病毒或者惡意程序入侵PC，篡改DNS配置(hosts文件，DNS服務器地址，DNS緩存等)。
2. 黑客利用路由器漏洞或者破擊路由器管理帳號入侵路由器而且篡改DNS配置。
3. 一些企業代理設備（如Cisco Umbrella intelligent proxy）針對企業內部場景對一些特定的域名作DNS劫持解析爲指定的結果。

【2、DNS解析路徑劫持】

DNS解析過程當中發生在客戶端和DNS服務器網絡通訊時的DNS劫持統一歸類爲DNS解析路徑劫持。經過對DNS解析報文在查詢階段的劫持路徑進行劃分，又能夠將DNS解析路徑劫持劃分爲以下三類：

• DNS請求轉發

經過技術手段(中間盒子，軟件等)將DNS流量重定向到其餘DNS服務器。
案例：

![圖片來自《巫俊峯, 沈瀚. 基於旁路搶答機制的異網DNS管控實踐. 電信技術[J]》](https://upload-images.jianshu...

• DNS請求複製

利用分光等設備將DNS查詢複製到網絡設備，並先於正常應答返回DNS劫持的結果。

案例：一個DNS查詢抓包返回兩個不一樣的應答。

• DNS請求代答

網絡設備或者軟件直接代替DNS服務器對DNS查詢進行應答。

案例：一些DNS服務器實現了SERVFAIL重寫和NXDOMAIN重寫的功能。

【3、篡改DNS權威記錄】

篡改DNS權威記錄 咱們這裏指的黑客非法入侵DNS權威記錄管理帳號，直接修改DNS記錄的行爲。

案例：黑客黑入域名的管理帳戶，篡改DNS權威記錄指向本身的惡意服務器以實現DNS劫持。

黑客黑入域名的上級註冊局管理帳戶，篡改域名的NS受權記錄，將域名受權給黑客本身搭建的惡意DNS服務器以實現DNS劫持。

黑客黑入域名的上級註冊局管理帳戶，篡改域名的NS受權記錄，將域名受權給黑客本身搭建的惡意DNS服務器以實現DNS劫持。（以上參考fireeye博客）

DNS劫持應對策略

DNS劫持在互聯網中彷佛已經變成了屢見不鮮，那麼該如何應對各類層出不窮的DNS劫持呢？若是懷疑本身遇到了DNS劫持，首先要作的事情就是要確認問題。

如何確認DNS劫持

查看路由器DNS配置是否被篡改。
可使用一些全網撥測的工具確認DNS劫持和其影響範圍。在此隆重介紹一下，阿里的DNS域名檢測工具於國慶後已經正式上線，地址是：https://zijian.aliyun.com/#/domainDetect 

經過工具查看回復DNS應答的DNS服務器，確認DNS解析是否被重定向。
• whatismydnsresolver http://whatismydnsresolver.com/
移動端能夠安裝一些DNS相關的測試工具進行排查：
• 安卓 ping & dns
• IOS IOS iNetTools

DNS劫持防範

• 安裝殺毒軟件，防護木馬病毒和惡意軟件；按期修改路由器管理帳號密碼和更新固件。
• 選擇安全技術實力過硬的域名註冊商，而且給本身的域名權威數據上鎖，防止域名權威數據被篡改。
• 選擇支持DNSSEC的域名解析服務商，而且給本身的域名實施DNSSEC。DNSSEC可以保證遞歸DNS服務器和權威DNS服務器之間的通訊不被篡改。阿里雲DNS做爲一家專業的DNS解析服務廠商，一直在不斷完善打磨產品功能，DNSSEC功能已經在開發中，不日就會上線發佈。
• 在客戶端和遞歸DNS服務器通訊的最後一英里使用DNS加密技術，如DNS-over-TLS，DNS-over-HTTPS等。

在此《DNS攻擊防範科普系列》已經完結，歡迎你們給咱們留意反饋本身對DNS攻擊防範對見解。本系列其餘的文章地址奉上：
系列1—《你的DNS服務器真的安全麼》
系列2 --《DNS服務器怎麼防DDoS攻擊》
系列3 --《如何保障 DNS 操做安全》
系列4--《遭遇DNS緩存投毒該怎麼辦》

---

本文做者：kimi_nyn

閱讀原文

本文爲雲棲社區原創內容，未經容許不得轉載。