DNS劫持与DNS污染,你中招了吗?

目录 Internet2017年3月13日

首先来讲一下DNS服务器的种类

1.权威DNS:
权威DNS是经过上一级授权对域名进行解析的服务器,同时它可以把解析授权转授给其他人,如COM顶级服务器可以授权xxorg.com这个域名的的权威服务器为NS.ABC.COM,同时NS.ABC.COM还可以把授权转授给NS.DDD.COM,这样NS.DDD.COM就成了ABC.COM实际上的权威服务器了。平时我们解析域名的结果都源自权威DNS。比如xxorg.com的权威DNS服务器就是dnspod的F1G1NS1.DNSPOD.NET和F1G1NS2.DNSPOD.NET。
2.递归DNS:
负责接受用户对任意域名查询,并返回结果给用户。递归DNS的工作过程参见本文第二节。递归DNS可以缓存结果以避免重复向上查询。我们平时使用最多的就是这类DNS,他对公众开放服务,一般由网络运营商提供,大家都自己可以架递归DNS提供服务。递归DNS一定要有可靠的互联网连接方可使用。比如谷歌的8.8.8.8和8.8.4.4以及114的114.114.114.114和114.114.115.115都属于这一类DNS。你本地电脑上设置的DNS就是这类DNS。醒醒的习惯是设置114.114.114.114和8.8.8.8这两个,更可靠一点。
3.转发DNS:
负责接受用户查询,并返回结果给用户。但这个结果不是按标准的域名解析过程得到的,而是直接把递归DNS的结果转发给用户。它也具备缓存功能。他主要使用在没有直接的互联网连接,但可以连接到一个递归DNS那里,这时使用转发DNS就比较合适。其缺陷是:直接受递归DNS的影响,服务品质较差。比如我们用的路由器里面的DNS就是这一类,用路由器的朋友可以看下本地电脑的DNS一般都是192.168.1.1。

DNS劫持与DNS污染的概念

DNS劫持:DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。

DNS劫持症状:在某些地区的用户在成功连接宽带后,首次打开任何页面都指向ISP提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问Google域名的时候出现了百度的网站。这些都属于DNS劫持。

DNS污染:DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击(DNS cache poisoning)。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。

DNS污染症状:目前一些被禁止访问的网站很多就是通过DNS污染来实现的,例如YouTube、Facebook等网站。

DNS劫持查询

DNS被劫持有2种情况,一种是路由器DNS被劫持,另外一种是电脑DNS被劫持。针对这2种DNS劫持,下面分别介绍下如何查看

怎么看电脑DNS是否被劫持

  1. 在电脑桌面右下角的网络图标上点击鼠标右键,在弹出的选项中,点击“打开网络和共享中心”,如下图所示。
  2. 在打开的网络和共享中心,点击已经连接的网络名称,之后会打开网络状态,如下图所示。
  3. 然后点击网络状态下面的“属性”,在弹出的网络属性对话框,先选中“Internet版本协议4(TCP/IPv4)”,然后再点击下方的“属性”,如下图所示。
  4. 最后就可以看到电脑设置的DNS地址了,如果自己之前没有设置过,默认是自动获取的(如左图),如果之前为设置过电脑DNS地址,但这里显示是手动设置的陌生DNS地址,则说明电脑DNS地址遭篡改(如下右图)。
  5. 如果确认电脑DNS地址遭到篡改,可以改成自动获取,然后点击底部的“确定”保存即可。

怎么看路由器DNS是否被劫持

  1. 首先在浏览器打开路由器登陆地址192.168.1.1(不同品牌路由器默认地址也有可能不同),然后使用管理员账号登陆,如下图所示;
  2. 登陆路由器后台管理界面后,点击进入【网络参数】下面的“WAN口”设置,在WAN口设置右侧界面,点击底部的“高级设置”,如下图所示。
  3. 在打开的PPPoE高级设置界面,就可以看到路由器默认的DNS地址了,如下图所示。
  4. 如果与电脑设置一样,这个DNS出现手动设置,并且这个不是你自己此前设置的DNS地址的话,则说明您的路由器DNS遭到劫持,如下图所示
  5. 如果路由器DNS地址遭到篡改,建议立即设置,将手动设置DNS服务器前面的勾去掉,改为自动获取,并更改路由器密码,完成后重启路由器。

解决办法

对于DNS劫持,我们最可能遇到的是网络运营商DNS劫持,如输入错误域名返回的不是错误网页而是运营商的广告网页,首次上网打开的不是目标地址而是运营商提供的黄页等。对于此类DNS劫持,我们需要修改本地DNS服务器地址,把由网络运营商提供的DNS服务器换成免费的公用DNS服务器,这类公共DNS服务器无广告,没有劫持不会返回错误ip,低延迟(响应快),能满足广大用户的域名解析请求。公共DNS服务器介绍请点这里

对于DNS污染,可以说,个人用户很难单单靠设置解决,我们可以使用VPN和SS、代理服务器等工具免受DNS污染,也可以通过修改Hosts的方法,手动设置域名正确的IP地址。

1 条评论

  • day 来自天朝的朋友 Google Chrome Windows 江苏省南京市 联通
    2018年5月29日 16:26

    感谢博主的文章,非常好,已经转载

发表评论