2019年2月20日，DNSPod發(fā)布一則通知，稱監(jiān)控到有大規(guī)模的黑產(chǎn)攻擊事件發(fā)生，導(dǎo)致被攻擊的用戶在訪問所有網(wǎng)絡(luò)服務(wù)時(shí)DNS解析被調(diào)度到江蘇電信或周邊線路。

為何會(huì)出現(xiàn)如此現(xiàn)象？

是因?yàn)橛脩羰褂昧瞬《镜腄NS進(jìn)行解析，病毒DNS再遞歸給114.114.114.114或者其他公共DNS。此時(shí)，公共DNS會(huì)認(rèn)為用戶就來(lái)自病毒DNS所在的網(wǎng)段。

如果病毒DNS所在電信網(wǎng)絡(luò)，那么公共DNS就會(huì)優(yōu)先輸出電信的CDN，這個(gè)時(shí)候?qū)β?lián)通和移動(dòng)的用戶來(lái)說(shuō)，就要跨越運(yùn)營(yíng)商的結(jié)算邊界，去訪問電信的CDN服務(wù)器，因此出現(xiàn)了大量的用戶跨網(wǎng)訪問，造成運(yùn)營(yíng)商之間跨網(wǎng)訪問結(jié)算和出口擁堵，導(dǎo)致用戶體驗(yàn)極差。

緊接著，2019年2月22日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布通報(bào)，證實(shí)本次黑客攻擊路由器事件，主要是針對(duì)用戶的DNS進(jìn)行劫持，導(dǎo)致用戶訪問部分網(wǎng)站時(shí)被劫持到涉黃涉賭的網(wǎng)站上。

聳人聽聞的DNS劫持

何為DNS劫持，這恐怕還要從DNS的功能說(shuō)起。

1、DNS功能：

DNS中文全稱為域名系統(tǒng)（英文：DomainNameSystem，縮寫：DNS）是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便地訪問互聯(lián)網(wǎng)。DNS使用TCP和UDP端口53。

說(shuō)的通俗一些，用戶上網(wǎng)時(shí)，沒有人去記憶網(wǎng)站服務(wù)器的IP地址，一是IP地址太多，二是根本記不住，而且有些網(wǎng)站服務(wù)器還要不斷的更新IP地址。那么為了方便大家上網(wǎng)，我們會(huì)把網(wǎng)站的域名和該網(wǎng)站服務(wù)器的IP地址做關(guān)聯(lián)，這就是DNS服務(wù)器的作用。

當(dāng)用戶上網(wǎng)時(shí)，只需要輸入網(wǎng)址，再由DNS服務(wù)器進(jìn)行查找相應(yīng)服務(wù)器的IP地址，進(jìn)而訪問互聯(lián)網(wǎng)。

說(shuō)到這，不免讓我們想起生活中的電話簿，通過姓名去查電話號(hào)碼與DNS的作用存在異曲同工之妙。

2、DNS劫持：

DNS協(xié)議是網(wǎng)絡(luò)中最為重要的服務(wù)之一，但在黑產(chǎn)盛行的年代，DNS服務(wù)也是最容易被黑產(chǎn)利用的工具。

我們?cè)谏暇W(wǎng)過程中都有遇到過網(wǎng)頁(yè)莫名跳轉(zhuǎn)這些情況，打開的目標(biāo)網(wǎng)站不是原來(lái)的內(nèi)容，反而跳轉(zhuǎn)到了未知的頁(yè)面，即使終端用戶輸入正確的網(wǎng)址也會(huì)被指向跳轉(zhuǎn)至那些惡意網(wǎng)站，或者本來(lái)能正常訪問的頁(yè)面，突然就打不開了，這就是DNS劫持，亦可稱域名劫持。

出現(xiàn)了這些令人困擾的異常現(xiàn)象，意味著你可能是DNS劫持、投毒的受害者。

DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知，曾導(dǎo)致巴西最大銀行巴西銀行近1%客戶受到攻擊而導(dǎo)致賬戶被盜。

黑客利用寬帶路由器的缺陷對(duì)用戶DNS進(jìn)行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁(yè)面，其寬帶路由器的DNS就會(huì)被黑客篡改，因?yàn)樵揥EB頁(yè)面設(shè)有特別的惡意代碼，所以可以成功躲過安全軟件檢測(cè)，導(dǎo)致大量用戶被DNS釣魚詐騙。

本次CNCERT 400萬(wàn)+用戶的家用路由器的DNS被劫持，進(jìn)而造成了非常大的網(wǎng)絡(luò)安全問題。

這次黑產(chǎn)操縱的DNS劫持事件主要目的是為了將用戶的一些正常域名（主要是彩票網(wǎng)站）解析到非法博彩網(wǎng)站，通過用戶對(duì)非法博彩網(wǎng)站的訪問和點(diǎn)擊從中獲利。

正常DNS訪問的樂彩網(wǎng)網(wǎng)站

具體表現(xiàn)為：103.85.84.0/24、103.85.85.0/24、45.113.201.0/24三個(gè)地址段提供的DNS服務(wù)，對(duì)190余個(gè)博彩類域名的解析進(jìn)行劫持，最終跳轉(zhuǎn)到博彩網(wǎng)站www.mg437700.vip:8888

被劫持到境外非法博彩網(wǎng)站

本次DNS劫持事件涉及面之廣、影響之大，是十分嚴(yán)重的事件。那么，拋開此次事件不提，在DNS的歷史上，出現(xiàn)過多次大規(guī)模的劫持事件，作為普通用戶來(lái)講，我們有哪些方法可以針對(duì)DNS劫持做一些預(yù)防呢？

首先我們先來(lái)看下DNS的網(wǎng)絡(luò)拓?fù)?#xff1a;

如上圖所示，在整個(gè)上網(wǎng)的流程中，DNS這環(huán)節(jié)無(wú)疑是脆弱而且不受用戶控制的。DNS劫持由于通常發(fā)生在為大家提供上網(wǎng)的網(wǎng)絡(luò)運(yùn)營(yíng)商的公共DNS服務(wù)器，因此普通用戶很難進(jìn)行處理也無(wú)法進(jìn)行有效預(yù)防，因此就造成當(dāng)訪問的目標(biāo)網(wǎng)站被劫持的時(shí)候會(huì)跳轉(zhuǎn)到其他地址的情況。

要對(duì)付運(yùn)營(yíng)商的DNS劫持，設(shè)置一個(gè)可靠的DNS服務(wù)器往往就可以解決問題。然而，很多朋友在設(shè)置了可靠的DNS服務(wù)器后，仍然不能解析到正確的IP地址，例如某個(gè)網(wǎng)站的IP地址明明是可以Ping通的，但就是無(wú)法訪問。

這部分網(wǎng)站無(wú)法訪問的原因是網(wǎng)站域名解析錯(cuò)誤，而這就存在這幾種可能：

1、黑客攻擊國(guó)外根服務(wù)器造成國(guó)內(nèi)服務(wù)器域名解析遭到污染；

2、由于數(shù)據(jù)傳輸過程中網(wǎng)絡(luò)節(jié)點(diǎn)較多，節(jié)點(diǎn)也可能成為攻擊目標(biāo)；

3、黑客在攻擊單個(gè)網(wǎng)站的時(shí)候，因?yàn)楣?jié)點(diǎn)較多，導(dǎo)致節(jié)點(diǎn)污染從而影響了全網(wǎng)。

4、運(yùn)營(yíng)商開始普及IPv6地址，而IPv6的地址都是公網(wǎng)IP，無(wú)需NAT，所以更容易被黑產(chǎn)利用。

針對(duì)IPv6場(chǎng)景多說(shuō)一點(diǎn)，區(qū)別以前IPv4的網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)讓所有本來(lái)受IPv4的NAT保護(hù)的家用路由器暴露在公網(wǎng)上，存在漏洞的家用路由器可以直接被滲透，導(dǎo)致節(jié)點(diǎn)污染從而影響了全網(wǎng)。

這就導(dǎo)致了網(wǎng)絡(luò)罪犯可以利用路由器的高危漏洞，比如安全研究人員發(fā)現(xiàn)的臺(tái)灣合勤科技、德國(guó)Speedport等公司的路由器產(chǎn)品存在7547端口對(duì)外開放的現(xiàn)象，攻擊者可以通過發(fā)送基于TR-069和 TR-064協(xié)議的指令利用漏洞，存在漏洞的路由器可能多達(dá)數(shù)百萬(wàn)部。

我國(guó)正在大規(guī)模推進(jìn)大網(wǎng)IPv6部署，這方面的技術(shù)風(fēng)險(xiǎn)需要格外關(guān)注。

德國(guó)電信向客戶提供的路由器上周末就遭到了攻擊，多達(dá)90萬(wàn)客戶受到影響，他們需要重啟路由器接收緊急補(bǔ)丁。

物聯(lián)網(wǎng)搜索引擎Shodan報(bào)告有4100萬(wàn)設(shè)備開放了7547端口，有大約500萬(wàn)設(shè)備暴露了TR-064服務(wù)。

而TR-064在設(shè)置NTP時(shí)間服務(wù)時(shí)存在命令注入漏洞，攻擊者通過對(duì)7547端口發(fā)送特定命令的數(shù)據(jù)包，執(zhí)行的命令為“busybox iptables -I INPUT -p tcp –dport 80 -j ACCEPT”，開啟防火墻80端口，使攻擊者遠(yuǎn)程訪問網(wǎng)絡(luò)管理界面。

針對(duì)DNS劫持，我們還有其他方法：

1、直接使用服務(wù)器IP地址，從根本上遏制了DNS劫持；

2、如果服務(wù)器IP總是變化，那么我們可以選擇手工設(shè)置114.114.114.114或8.8.8.8知名的DNS服務(wù)器；

3、雖然設(shè)置了知名的DNS服務(wù)器，但是被黑客控制了電腦，那么我們可以安裝殺毒軟件防攻擊；

4、安裝殺毒軟件后，沒有被黑客攻擊，反而被殺毒軟件劫持了，那么我們選擇卸載軟件或重裝系統(tǒng)；

5、以上均解決不了問題的話，可以聯(lián)系專業(yè)廠商，如選擇購(gòu)買Panabit+Panalog服務(wù)器進(jìn)行處理；

如何使用Panalog進(jìn)行檢查

1、在DNS統(tǒng)計(jì)處進(jìn)行查詢

可以發(fā)現(xiàn)出現(xiàn)被劫持DNS服務(wù)器的IP地址，可以判斷在該網(wǎng)絡(luò)中可能存在被劫持的用戶。

2、會(huì)話日志處進(jìn)行篩查

直接選擇“異常分析”選項(xiàng)，直接找到異常的用戶IP和異常的協(xié)議名稱 （注意在Panalog上輸入IP地址段時(shí)要采用“x.x.x.x-x.x.x.y”的格式）

3、Panabit用戶對(duì)自己網(wǎng)絡(luò)進(jìn)行核查

對(duì)劫持的DNS重新指到正常DNS服務(wù)商（DNSPod）。

具體操作界面如下:

最后，此次DNS劫持事件，希望能夠引起大家的足夠重視，只要我們懂得如何正確的使用互聯(lián)網(wǎng)，了解掌握預(yù)防網(wǎng)絡(luò)安全的方法，真正做到未雨綢繆，防患于未然，那么DNS劫持又有什么可擔(dān)心的呢？

本文轉(zhuǎn)自：公眾號(hào)：特大號(hào)

總結(jié)

以上是生活随笔為你收集整理的家用路由器被劫持？如何正确的分析与应对的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。