DNS劫持

　　DNS劫持又稱域名劫持，是指在劫持的網絡範圍內攔截域名解析的請求，分析請求的域名，把審查範圍之外的請求放行，不然返回假的IP地址或者什麼都不作使請求失去響應，其效果就是對特定的網絡不能反應或訪問的是假網址。

　　DNS（域名劫持）是把網絡地址（域名，以一個字符串的形式）對應到真實的計算機可以識別的網絡地址（IP地址），以便計算機可以進一步通訊，傳遞網址和內容等。因爲域名劫持每每只能在特定的被劫持的網絡範圍內進行，因此在此範圍外的域名服務器(DNS)可以返回正常的IP地址，高級用戶能夠在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。因此域名劫持一般相伴的措施——封鎖正常DNS的IP。

　　若是知道該域名的真實IP地址，則能夠直接用此IP代替域名後進行訪問。好比訪問百度域名，能夠把訪問改成202.108.22.5，從而繞開域名劫持 。

 

應對方法:

　　DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知，曾致使巴西最大銀行巴西銀行近1%客戶受到攻擊而致使帳戶被盜。這次由國內領先的DNS服務商114DNS率先發現的DNS劫持攻擊，黑客利用寬帶路由器的缺陷對用戶DNS進行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁面，其寬帶路由器的DNS就會被黑客篡改，由於該WEB頁面沒有特別的惡意代碼，因此能夠成功躲過安全軟件檢測，致使大量用戶被DNS釣魚詐騙。

　　因爲一些未知緣由，在極少數狀況下自動修復不成功，建議您手動修改。同時，爲了不再次被攻擊，即便修復成功，用戶也可按照騰訊電腦管家提示的方法修改路由器的登陸用戶名和密碼。下面以用戶經常使用的TP-link路由器爲例來講明修改方法（其餘品牌路由器與該方法相似）。

 

1. 手動修改路由器設置

1. 在地址欄中輸入：http：//192.168.1.1 （若是頁面不能顯示可嘗試輸入：http：//192.168.0.1
2. 填寫您路由器的用戶名和密碼，點擊「肯定」
3. 在「DHCP服務器—DHCP」服務中，填寫主DNS服務器爲更可靠的114.114.114.114地址，備用DNS服務器爲8.8.8.8，點擊保存便可。

2.修改路由器密碼

　　1.在地址欄中輸入：http：//192.168.1.1 （若是頁面不能顯示可嘗試輸入：http：//192.168.0.1）

　　2. 填寫您路由器的用戶名和密碼，路由器初始用戶名爲admin，密碼也是admin，若是您修改過，則填寫修改後的用戶名和密碼，點擊「肯定」

　　3.填寫正確後，會進入路由器密碼修改頁面，在系統工具——修改登陸口令頁面便可完成修改（原用戶名和口令和2中填寫的一致）

3.預防DNS劫持

　　其實，DNS劫持並非什麼新鮮事物，也並不是沒法預防，百度被黑事件的發生再次揭示了全球DNS體系的脆弱性，並說明互聯網廠商若是僅有針對自身信息系統的安全預案，就不足以快速應對全面而複雜的威脅。所以，互聯網公司應採起如下措施：

　　一、互聯網公司準備兩個以上的域名，一旦黑客進行DNS攻擊，用戶還能夠訪問另外一個域名。

　　二、互聯網應該對應急預案進行進一步修正，強化對域名服務商的協調流程。

　　三、域名註冊商和代理機構特定時期可能成爲集中攻擊目標，須要加以防範。

　　四、國內有關機構之間應該快速創建與境外有關機構的協調和溝通，協助國內企業實現對此事件的快速及時的處理。

 

DNS劫持變種：

　　上週百度搜索上線了一個很是重要的策略，若是發現有網站被植入惡意篡改用戶路由DNS的代碼時，就會攔截頁面，打出提示！據安全聯盟的統計發現過萬的網站被黑，植入了路由DNS劫持代碼，這個數量很是之大。
　　過去一段時間，知道創宇安全研究團隊就捕獲了至少5個變種。這類攻擊的模式通常是：

1. 攻擊者黑下一批網站；
2. 攻擊者往這批網站裏植入路由DNS劫持代碼（各類變形）；
3. 攻擊者傳播或坐等目標用戶訪問這批網站；
4. 用戶訪問這些網站後，瀏覽器就會執行「路由DNS劫持代碼」；
5. 用戶的家庭/公司路由器若是存在漏洞就會中招；
6. 用戶上網流量被「假DNS服務器」劫持，並出現奇怪的廣告等現象；

　　雖然此次攻擊主要針對Tp-Link路由器，不過中招的路由不只TP-Link！對此安全聯盟推出DNS劫持專題 ^[1] ，爲網民及站長提供詳細解決方案。

 

拓展閱讀：2013DNS劫持釣魚事件，114DNS, 網絡釣魚，釣魚網站