DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應(yīng)，其效果就是對特定的網(wǎng)絡(luò)不能訪問或訪問的是假網(wǎng)址，隱藏IP讓你的服務(wù)器不再“裸奔”。

防劫持方案：http://www.ukunilife.com/solutions/web.html

DNS域名劫持的幾種方式及解決方法

DNS劫持癥狀

在某些地區(qū)的用戶在成功連接寬帶后，首次打開任何頁面都指向ISP提供的“電信互聯(lián)星空”、“網(wǎng)通黃頁廣告”等內(nèi)容頁面。這些都屬于DNS劫持。

DNS劫持原理

DNS(域名系統(tǒng))的作用是把網(wǎng)絡(luò)地址(域名，以一個字符串的形式)對應(yīng)到真實(shí)的計(jì)算機(jī)能夠識別的網(wǎng)絡(luò)地址(IP地址)，以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

DNS域名解析過程

1.輸入網(wǎng)址

2.電腦發(fā)出一個DNS請求到本地DNS服務(wù)器(本地DNS服務(wù)器一般由網(wǎng)絡(luò)接入商提供，中國移動、電信等)

3.本地服務(wù)器查詢緩存記錄，有則直接返回結(jié)果。沒有則向DNS根服務(wù)器進(jìn)行查詢。(根服務(wù)器沒有記錄具體的域名和IP地址對應(yīng)的關(guān)系)

4.告訴本地DNS服務(wù)器域服務(wù)器地址(此處為.com)

5.本地服務(wù)器向域服務(wù)器發(fā)出請求

6.域服務(wù)器告訴本地DNS服務(wù)器域名的解析服務(wù)器的地址

7.本地服務(wù)器向解析服務(wù)器發(fā)出請求

8.收到域名和IP地址的對應(yīng)關(guān)系

9.本地服務(wù)器把IP地址發(fā)給用戶電腦，并保存對應(yīng)關(guān)系，以備下次查詢

DNS，域名系統(tǒng)，是互聯(lián)網(wǎng)上作為域名和IP地址相互映射的一個分布式數(shù)據(jù)庫。

DNS劫持后果

大規(guī)模的DNS劫持，其結(jié)果往往是斷網(wǎng)，因?yàn)榇缶W(wǎng)站的訪問量實(shí)在太大了，釣魚網(wǎng)站的服務(wù)器可能會扛不住大流量的訪問，瞬間就會癱瘓掉，網(wǎng)民看到的結(jié)果就是網(wǎng)頁打不開。網(wǎng)上購物,網(wǎng)上支付有可能會被惡意指向別的網(wǎng)站，更加加大了個人賬戶泄密的風(fēng)險(xiǎn)。網(wǎng)站內(nèi)出現(xiàn)惡意廣告。輕則影響網(wǎng)速，重則不能上網(wǎng)。

遞歸DNS獲得了某域名的IP地址后，把所有信息都回復(fù)給源地址，而此時(shí)的源地址就是被攻擊者的IP地址了。如果攻擊者擁有著足夠多的肉雞群，那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。

利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是，攻擊者由于沒直接與被攻擊主機(jī)進(jìn)行通訊，隱匿了自己行蹤，讓受害者難以追查原始的攻擊來源。相對比較好的解決辦法就是可取消DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能。

1、DNS緩存感染

攻擊者使用DNS請求，將數(shù)據(jù)放入一個具有漏洞的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會在客戶進(jìn)行DNS訪問時(shí)返回給用戶，從而把用戶客戶對正常域名的訪問引導(dǎo)到入侵者所設(shè)置掛馬、釣魚等頁面上，或者通過偽造的郵件和其他的server服務(wù)獲取用戶口令信息，導(dǎo)致客戶遭遇進(jìn)一步的侵害。

2、DNS信息劫持

原則上TCP/IP體系通過序列號等多種方式避免仿冒數(shù)據(jù)的插入，但入侵者如果通過監(jiān)聽客戶端和DNS服務(wù)器的對話，就可以猜測服務(wù)器響應(yīng)給客戶端的DNS查詢ID。

每個DNS報(bào)文包括一個相關(guān)聯(lián)的16位ID號，DNS服務(wù)器根據(jù)這個ID號獲取請求源位置。

攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個域名服務(wù)器的域名解析請求的數(shù)據(jù)包被截獲，然后按截獲者的意圖將一個虛假的IP地址作為應(yīng)答信息返回給請求者。這時(shí)，原始請求者就會把這個虛假的IP地址作為它所要請求的域名而進(jìn)行連接，顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。

3、DNS重定向

攻擊者如果將DNS名稱查詢重定向到惡意DNS服務(wù)器。那么被劫持域名的解析就完全置于攻擊者的控制之下。

4、ARP欺騙

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過"ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP欺騙通常是在用戶局網(wǎng)中，造成用戶訪問域名的錯誤指向，但在IDC機(jī)房被入侵后，則也可能出現(xiàn)攻擊者采用ARP包壓制正常主機(jī)、或者壓制DNS服務(wù)器，而李代桃僵，以使訪問導(dǎo)向錯誤指向的情況。