dns劫持如何解決（dns被劫持了怎麼處理）

2023-07-14 05:22:40

DNS劫持

DNS劫持又稱域名劫持，是指在劫持的網路範圍內攔截域名解析的請求，分析請求的域名，把審查範圍以外的請求放行，否則返回假的IP地址或者什麼都不做使請求失去響應，其效果就是對特定的網路不能反應或訪問的是假網址。

DNS（域名劫持）是把網路地址（域名，以一個字串的形式）對應到真實的計算機能夠識別的網路地址（IP地址），以便計算機能夠進一步通訊，傳遞網址和內容等。由於域名劫持往往只能在特定的被劫持的網路範圍內進行，所以在此範圍外的域名伺服器(DNS)能夠返回正常的IP地址，高階使用者可以在網路設定把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
　　如果知道該域名的真實IP地址，則可以直接用此IP代替域名後進行訪問。比如訪問百度域名，可以把訪問改為202.108.22.5，從而繞開域名劫持。

應對方法:

DNS劫持(DNS釣魚攻擊)十分凶猛且不容易被使用者感知，曾導致巴西最大銀行巴西銀行近1%客戶受到攻擊而導致賬戶被盜。此次由國內領先的DNS服務商114DNS率先發現的DNS劫持攻擊，黑客利用寬頻路由器的缺陷對使用者DNS進行篡改——使用者只要瀏覽一下黑客所掌控的WEB頁面，其寬頻路由器的DNS就會被黑客篡改，因為該WEB頁面沒有特別的惡意程式碼，所以可以成功躲過安全軟體檢測，導致大量使用者被DNS釣魚詐騙。
　　由於一些未知原因，在極少數情況下自動修復不成功，建議您手動修改。同時，為了避免再次被攻擊，即使修復成功，使用者也可按照騰訊電腦管家提示的方法修改路由器的登入使用者名稱和密碼。下面以使用者常用的TP-link路由器為例來說明修改方法（其他品牌路由器與該方法類似）。

1.手動修改路由器設定

在位址列中輸入：http：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http：//192.168.0.1
填寫您路由器的使用者名稱和密碼，點選“確定”
在“DHCP伺服器—DHCP”服務中，填寫主DNS伺服器為更可靠的114.114.114.114地址，備用DNS伺服器為8.8.8.8，點選儲存即可。

2.修改路由器密碼

1.在位址列中輸入：http：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http：//192.168.0.1）

2. 填寫您路由器的使用者名稱和密碼，路由器初始使用者名稱為admin，密碼也是admin，如果您修改過，則填寫修改後的使用者名稱和密碼，點選“確定”

3.填寫正確後，會進入路由器密碼修改頁面，在系統工具——修改登入口令頁面即可完成修改（原使用者名稱和口令和2中填寫的一致）

3.預防DNS劫持

其實，DNS劫持並不是什麼新鮮事物，也並非無法預防，百度被黑事件的發生再次揭示了全球DNS體系的脆弱性，並說明網際網路廠商如果僅有針對自身資訊系統的安全預案，就不足以快速應對全面而複雜的威脅。因此，網際網路公司應採取以下措施：
　　1、網際網路公司準備兩個以上的域名，一旦黑客進行DNS攻擊，使用者還可以訪問另一個域名。
　　2、網際網路應該對應急預案進行進一步修正，強化對域名服務商的協調流程。
　　3、域名註冊商和代理機構特定時期可能成為集中攻擊目標，需要加以防範。
　　4、國內有關機構之間應該快速建立與境外有關機構的協調和溝通，協助國內企業實現對此事件的快速及時的處理。

DNS劫持變種：

上週百度搜尋上線了一個非常重要的策略，如果發現有網站被植入惡意篡改使用者路由DNS的程式碼時，就會攔截頁面，打出提示！據安全聯盟的統計發現過萬的網站被黑，植入了路由DNS劫持程式碼，這個數量非常之大。
　　過去一段時間，知道創宇安全研究團隊就捕獲了至少5個變種。這類攻擊的模式一般是：
攻擊者黑下一批網站；
攻擊者往這批網站裡植入路由DNS劫持程式碼（各種變形）；
攻擊者傳播或坐等目標使用者訪問這批網站；
使用者訪問這些網站後，瀏覽器就會執行“路由DNS劫持程式碼”；
使用者的家庭/公司路由器如果存在漏洞就會中招；
使用者上網流量被“假DNS伺服器”劫持，並出現奇怪的廣告等現象；

缺點

它不是很穩定，在某些網路速度快的地方，真實的IP地址返回得比竊持軟體提供的假地址要快，因為監測和返回這麼巨大的資料流量也是要花費一定時間的。

在網上查詢域名的正確IP非常容易。一個是利用海外的一些線上IP地址查詢服務，可以查詢到網站的真實IP地址。在Google上搜尋"nslookup"，會找到更多類似的服務。

攻擊機：Kali Linux IP地址：192.168.179.129

靶機：Windows 7 IP地址：192.168.179.130

工具：ettercap

網路模式設定

首先要保證攻擊機和靶機處在同一區域網下，這裡我們只需要把兩臺虛擬機器的網路模式設定為相同的即可，我這裡的網路模式設定為NAT模式，如下圖所示。

地址掃描
現在我們知道了兩臺機器處於同一區域網下，但是我們並不知道靶機的IP地址，所以我們需要利用netdiscover工具對同一網段下的存貨主機進行探測。

首先我們檢視一下Kali攻擊機的IP地址，如下圖所示：

然後我們利用netdiscover工具進行地址掃描，命令如下：

netdiscover

發起攻擊
在成功拿到了靶機的ip地址後，我們利用ettercap工具開始對靶機發起攻擊。

掃描主機
開啟errercap工具之後，點選左上角的掃描按鈕，開始掃描區域網內的主機。然後點選“Hosts List”按鈕，顯示掃描結果。如下圖所示，共掃描到了四臺主機，其中192.168.179.130是目標靶機的IP地址。

新增目標
之後，將目標靶機的ip地址設定為target 1，將閘道器設定為target 2。如下圖所示：

設定監聽
然後開啟右上角的mitm選單，選擇ARP Posioning，並勾選Sniff remote connections，設定為監聽模式。如下圖所示：

新增DNS記錄
這時，我們需要設定將目標訪問的網址如何解析，這需要我們更改ettercap工具的配置檔案，在/etc/ettercap/ 目錄下的etter.dns檔案，新增 ..com A 192.168.179.129 這條記錄，，儲存即可意思是隻要目標靶機訪問.com結尾的網站，就會被解析到192.168.179.129這個ip地址當中去。

發起攻擊
之後在選單中選擇Plugins->Manage Plugins，勾選上dns_spoof，然後開始攻擊。

攻擊成功
攻擊成功後，我們訪問百度，可以看到瀏覽器跳轉到了其他的頁面。

最後,為了回饋讀者，我整理了網路安全的全套視訊、工具包、書籍、應急筆記等資料，都放在了我的個人文件，需要的關注我，回覆“”資料“”領取網路安全資料

最後，感謝大家的關注和閱讀！！