什么是DNS劫持？

DNS究竟是什么？

域名系统 (DNS) 就像互联网的电话簿。它通过将您喜欢的网址（您喜欢的新闻网站或博客）转换为计算机友好的语言来工作。DNS最重要的作用是通过将人类友好的域名转换为机器友好的IP地址来连接互联网用户和网站。

DNS解析器，也称为递归DNS服务器，是此过程的第一阶段，它处理第一个请求并最终将域名转换为IP地址。
DNS解析器通过在一个或多个权威DNS名称服务器上查找DNS记录来确定计算机可以读取的匹配IP地址。
权威DNS名称服务器在查找过程中不可否认地非常重要。这是因为它会告知递归DNS服务器某些网站的位置。
互联网名称与数字分配机构 (ICANN) 认可域名注册商。用户可以通过它注册和租赁域名。如果没有域名，那些标识这些域的长串数字——IP地址——将难以让消费者记住。

简而言之，域名使每个人都能更轻松地浏览互联网。

DNS查询在很大程度上是未加密的，这对恶意行为者拦截请求来说是一个问题，也是一个机会。我们已经讨论了DNS和隐私问题，但现在让我们看看DNS劫持是如何以及为什么发生的。

DNS劫持是一种DNS攻击，攻击者试图通过错误解析您的DNS请求来将您的流量转移到恶意域。
当您的浏览器正在解析URL时，攻击者设置的虚假服务器会将属于其恶意网站的虚假IP地址传输到您的设备，试图欺骗您使用您想要访问的网站的未经授权版本。这些通常是用户输入敏感数据的网站，允许攻击者窃取他们的数据。

黑客使用缓存投毒和其他策略来劫持用户的DNS。当黑客访问网站的缓存时，这被称为网站缓存投毒。

网站上的缓存投毒是一种复杂的方法。它允许恶意项目插入到网站的缓存中，向用户提供错误的响应——一个受感染的页面。
在DNS缓存投毒中，黑客将伪造的DNS记录插入到DNS解析器的内存中。从本质上讲，罪犯会在不修改DNS设置的情况下，使用与真实网站相同的域名，用虚假的IP地址来污染DNS缓存。然后，DNS服务器解析IP地址并将用户定向到欺诈网站。
例如，如果用户将登录凭据提交到虚假的在线银行登录表单中，则黑客可能会接管用户的帐户并窃取资金。特别是金融机构可能是DNS劫持攻击的主要目标。用户可能不知道他们访问的是虚假网站，因为他们信任他们的银行服务。

DNS是一个存在已久的协议。它成立于1983年，早于当今的任何网络安全问题。它缺乏必要的安全功能（例如身份验证）也就不足为奇了。当时没有人会想到DNS可能会被用于邪恶的目的。

除了基本缺乏安全性之外，企业可能也没有正确监控DNS流量。您如何才能防御DNS欺骗？

我们都可以采取一些简单的措施来更好地保护自己免受DNS劫持或任何其他类型的DNS攻击——

我们已经研究了您可以用来保护自己免受域名劫持的各种策略，其中许多策略也适用于DNS劫持。

现在让我们找出DNS劫持可能发生的方式——

网络犯罪分子可能会入侵DNS服务器并更改DNS记录，以将DNS搜索转移到黑客运营的伪造网站。
当黑客篡改路由器上的DNS设置时，他们会获得对用户DNS系统的控制权。然后可以修改DNS路由器（域名服务提供商经常使用的设备）以使用恶意DNS服务器并在任何时候转移流量。
犯罪分子可以劫持DNS请求并将所有在线流量重定向到恶意域。因此，这些网站可能会感染设备中的恶意软件并协助窃取重要信息。

有趣的是，DNS劫持不仅仅支持欺诈活动。

ISPs可能会操纵DNS查询。为什么？他们可以操纵用户的DNS请求以收集互联网使用数据或显示广告。
当用户尝试输入不存在的域名时，通常会显示NXDOMAIN响应消息。在这种情况下，将域名转换为IP地址的DNS解析器或DNS查找无法解析请求。当ISPs劫持此NXDOMAIN响应时，他们可以加载重定向页面以投放广告或收集数据。
此外，政府机构可能会利用DNS重定向技术进行审查，例如将人们从非法或淫秽信息中重定向。

Ayushi Bhargava

更新于：2022年4月14日

460 次浏览

完成课程后获得认证

开始