DNS 劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則返回假的IP 地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能反應(yīng)或訪問的

DNS 劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則返回假的IP 地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能反應(yīng)或訪問的是假網(wǎng)址。

目錄1基本原理

2應(yīng)對(duì)方法

3DNS 劫持變種

4歷史事件

5拓展閱讀

1基本原理

DNS （域名劫持）是把網(wǎng)絡(luò)地址（域名，以一個(gè)字符串的形式）對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址（IP 地址），以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP 地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS 指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS 的IP 。

如果知道該域名的真實(shí)IP 地址，則可以直接用此IP 代替域名后進(jìn)行訪問。比如訪問百度域名，可以把訪問改為202.108.22.5，從而繞開域名劫持 。

2應(yīng)對(duì)方法DNS 劫持(DNS釣魚攻擊) 十分兇猛且不容易被用戶感知，曾導(dǎo)致巴西最大銀行巴西銀行近1客戶受到攻擊而導(dǎo)致賬戶被盜。此次由國內(nèi)領(lǐng)先的DNS 服務(wù)商114DNS 率先發(fā)現(xiàn)的DNS 劫持攻擊，黑客利用寬帶路由器的缺陷對(duì)用戶DNS 進(jìn)行篡改——用戶只要瀏覽一下黑客所掌控的WEB 頁面，其寬帶路由器的DNS 就會(huì)被黑客篡改，因?yàn)樵揥EB 頁面沒有特別的惡意代碼，所以可以成功躲過安全軟件檢測，導(dǎo)致大量用戶被DNS 釣魚詐騙。

由于一些未知原因，在極少數(shù)情況下自動(dòng)修復(fù)不成功，建議您手動(dòng)修改。同時(shí)，為了避免再次被攻擊，即使修復(fù)成功，用戶也可按照騰訊電腦管家提示的方法修改路由器的登錄用戶名和密碼。下面以用戶常用的TP-link 路由器為例來說明修改方法（其他品牌路由器與該方法類似）。

1. 手動(dòng)修改路由器設(shè)置

（1）在地址欄中輸入：http ：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http ：//192.168.0.1

（2）. 填寫您路由器的用戶名和密碼，點(diǎn)擊“確定”

（3） 在“DHCP 服務(wù)器—DHCP ”服務(wù)中，填寫主DNS 服務(wù)器為更可靠的114.114.114.114地址，備用DNS 服務(wù)器為8.8.8.8，如下圖所示，點(diǎn)擊保存即可。

2. 修改路由器密碼

（1）在地址欄中輸入：http ：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http ：//192.168.0.1）

（2）. 填寫您路由器的用戶名和密碼，路由器初始用戶名為admin ，密碼也是admin ，如果您修改過，則填寫修改后的用戶名和密碼，點(diǎn)擊“確定”

（3）填寫正確后，會(huì)進(jìn)入路由器密碼修改頁面，在系統(tǒng)工具——修改登錄口令頁面即可完成修改（原用戶名和口令和2中填寫的一致）

預(yù)防DNS 劫持

其實(shí)，DNS 劫持并不是什么新鮮事物，也并非無法預(yù)防，百度被黑事件的發(fā)生再次揭示了全球DNS 體系的脆弱性，并說明互聯(lián)網(wǎng)廠商如果僅有針對(duì)自身信息系統(tǒng)的安全預(yù)案，就不足以快速應(yīng)對(duì)全面而復(fù)雜的威脅。因此，互聯(lián)網(wǎng)公司應(yīng)采取以下措施：

1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個(gè)以上的域名，一旦黑客進(jìn)行DNS 攻擊，用戶還可以訪問另一個(gè)域名。

2、互聯(lián)網(wǎng)應(yīng)該對(duì)應(yīng)急預(yù)案進(jìn)行進(jìn)一步修正，強(qiáng)化對(duì)域名服務(wù)商的協(xié)調(diào)流程。

3、域名注冊(cè)商和代理機(jī)構(gòu)特定時(shí)期可能成為集中攻擊目標(biāo)，需要加以防范。

4、國內(nèi)有關(guān)機(jī)構(gòu)之間應(yīng)該快速建立與境外有關(guān)機(jī)構(gòu)的協(xié)調(diào)和溝通，協(xié)助國內(nèi)企業(yè)實(shí)現(xiàn)對(duì)此事件的快速及時(shí)的處理。

3DNS 劫持變種

上周百度搜索上線了一個(gè)非常重要的策略，如果發(fā)現(xiàn)有網(wǎng)站被植入惡意篡改用戶路由DNS 的代碼時(shí)，就會(huì)攔截頁面，打出提示！據(jù)安全聯(lián)盟的統(tǒng)計(jì)發(fā)現(xiàn)過萬的網(wǎng)站被黑，植入了路由DNS 劫持代碼，這個(gè)數(shù)量非常之大。

過去一段時(shí)間，知道創(chuàng)宇安全研究團(tuán)隊(duì)就捕獲了至少5個(gè)變種。這類攻擊的模式一般是： 攻擊者黑下一批網(wǎng)站；

攻擊者往這批網(wǎng)站里植入路由DNS 劫持代碼（各種變形）；

攻擊者傳播或坐等目標(biāo)用戶訪問這批網(wǎng)站；

用戶訪問這些網(wǎng)站后，瀏覽器就會(huì)執(zhí)行“路由DNS 劫持代碼”；

用戶的家庭/公司路由器如果存在漏洞就會(huì)中招；

用戶上網(wǎng)流量被“假DNS 服務(wù)器”劫持，并出現(xiàn)奇怪的廣告等現(xiàn)象；

雖然這次攻擊主要針對(duì)Tp-Link 路由器，不過中招的路由不僅TP-Link ！對(duì)此安全聯(lián)盟推出DNS 劫持專題[1]，為網(wǎng)民及站長提供詳細(xì)解決方案。

4歷史事件時(shí)間 事件

2013年5月6日 史上最大規(guī)模DNS 釣魚攻擊預(yù)估已致800萬用戶感染，以全網(wǎng)2億用戶進(jìn)行估算，每天至少有800萬用戶處于DNS 釣魚攻擊威脅中[2]

2012年 日本郵儲(chǔ)銀行、三井住友銀行和三菱東京日聯(lián)銀行各自提供的網(wǎng)上銀行服務(wù)都被釣魚網(wǎng)站劫持

2010年1月12日 “百度域名被劫持”事件[3]

2009 巴西最大銀行遭遇DNS 攻擊，1用戶被釣魚

[2]2013年5月6日，據(jù)國內(nèi)DNS 服務(wù)提供商114DNS 官方微博（參考資料：114DNS 官方微博）消息：新一輪DNS 釣魚攻擊已經(jīng)突破國內(nèi)安全防線，可能已經(jīng)導(dǎo)致國內(nèi)數(shù)百萬用戶感染。此攻擊利用路由器的弱口令，以及路由器的web 管理接口進(jìn)行攻擊，通過Start_apply頁面修改DNS 服務(wù)器地址以實(shí)現(xiàn)釣魚攻擊，此前DNS 劫持曾致巴西最大銀行癱瘓； 用戶可手動(dòng)修改DNS 為114.114.114.114（或114.114.115.115）避免受到攻擊 。114DNS 平臺(tái)負(fù)責(zé)人介紹，114DNS 為多個(gè)電信運(yùn)營商與南京信風(fēng)共建的超大型DNS 平臺(tái)，為公眾免費(fèi)提供全國通用的DNS 解析，為企業(yè)提供高可靠權(quán)威DNS 解析，同時(shí)為電信運(yùn)營提供DNS 應(yīng)急災(zāi)備。114DNS 在電信運(yùn)營商那關(guān)聯(lián)的DNS 異常監(jiān)測系統(tǒng)，率先發(fā)現(xiàn)了黑客集團(tuán)發(fā)動(dòng)的此次DNS 釣魚攻擊。

隨后，安全軟件及服務(wù)商騰訊電腦管家(參考資料：騰訊電腦管家官網(wǎng)) 通過官方微博（參考資料：騰訊電腦管家官方微博）對(duì)此消息予以了證實(shí)，據(jù)騰訊電腦管家安全監(jiān)測數(shù)據(jù)顯示：至少有4的全網(wǎng)用戶受到感染；以全網(wǎng)2億用戶進(jìn)行估算，每天至少有800萬用戶處于DNS 釣魚攻擊威脅中。114DNS 及騰訊電腦管家對(duì)此次DNS 劫持攻擊進(jìn)行了安全防御響應(yīng)，騰訊電腦管家已完成產(chǎn)品安全策略升級(jí)，可以有效識(shí)別被黑客篡改的DNS 并攔截此類DNS 指向的釣魚網(wǎng)站，為用戶提供修復(fù)方案，并向廣大用戶發(fā)出了安全風(fēng)險(xiǎn)警告。

2012年，據(jù)日本《日經(jīng)電腦》報(bào)道，日本郵儲(chǔ)銀行、三井住友銀行和三菱東京日聯(lián)銀行于2012年10月25日和10月26日分別發(fā)布公告提醒用戶，三家銀行各自提供的網(wǎng)上銀行服務(wù)都被釣魚網(wǎng)站劫持，出現(xiàn)要求用戶輸入信息的虛假頁面，在登錄官方網(wǎng)站后，會(huì)彈出要求用戶輸入密碼等的窗口畫面，本次虛假彈出式窗口頁面的目的在于盜取用戶網(wǎng)上銀行服務(wù)的密碼。這種彈出式窗口頁面上還顯示有銀行的標(biāo)志等，乍看上去像真的一樣。

DNS 劫持曾制造2010年“百度域名被劫持”事件[3]2010年1月12日上午7時(shí)40分，有網(wǎng)民發(fā)現(xiàn)百度首頁登陸發(fā)生異常情況。上午8時(shí)后，在中國內(nèi)地大部分地區(qū)和美國、歐洲等地都無法以任何方式正常登陸百度網(wǎng)站，而百度域名的WHOIS 傳輸協(xié)議被無故更改，網(wǎng)站的域名被更換至雅虎屬下的兩個(gè)域名服務(wù)器，部分網(wǎng)民更發(fā)現(xiàn)網(wǎng)站頁面被篡改成黑色背景以及伊朗國旗，同時(shí)顯示“This site has been hacked by Iranian Cyber Army”（該網(wǎng)站已被伊朗網(wǎng)軍入侵）字樣以及一段阿拉伯文字，然后跳轉(zhuǎn)至英文雅虎主頁，這就是“百度域名被劫持”事件。

巴西最大銀行曾遭遇DNS 攻擊，1用戶被釣魚

2009年巴西一家最大銀行Bandesco 巴西銀行，曾遭受DNS 緩存病毒攻擊，成為震驚全球的““銀行劫持案”。受到影響的用戶會(huì)被重定向至一個(gè)假冒的銀行網(wǎng)站，該假冒網(wǎng)站試圖竊取用戶密碼并安裝惡意軟件。DNS 緩存病毒攻擊是利用互聯(lián)網(wǎng)域名系統(tǒng)中的漏洞進(jìn)行的，沒有及時(shí)打補(bǔ)丁的ISP 很容易受到攻擊。合法的IP 會(huì)被某個(gè)網(wǎng)站給取代，即使終端用戶輸入正確的網(wǎng)址也會(huì)被重定向至那些惡意網(wǎng)站。有近1的銀行客戶受到了攻擊，如果這些客戶注意到了銀行SSL 證書在被重定向時(shí)出現(xiàn)的錯(cuò)誤提示，就不會(huì)上當(dāng)受騙。

5拓展閱讀2013DNS 劫持釣魚事件，114DNS, 網(wǎng)絡(luò)釣魚，釣魚網(wǎng)站

詞條圖冊(cè)

更多圖冊(cè)

◆

參考資料

1． 安全聯(lián)盟站長平臺(tái)DNS 劫持專題 ．安全聯(lián)盟站長平臺(tái) [引用日期2013-11-19] ．

2． 史上最大規(guī)?！?4DNS 劫持”已得到有效遏制 ．中國廣播網(wǎng) [引用日期2013-05-23] ．

3． 百度域名被劫持 黑客篡改DNS 解析記錄 ．新浪科技 [引用日期2013-05-23] ．

詞條標(biāo)簽：互聯(lián)網(wǎng)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)安全