什麼是DNS劫持？如何進行有效應對？

今年6月份，美國政府以“違反制裁”為由關閉了伊朗30多個新聞媒體網站，將目標網站解析轉移到了美國控制的IP上。此次事件中，美國“制裁”伊朗網站所採用的技術手段正是DNS劫持。這次攻擊對伊朗眾多使用者正常訪問和使用網站造成了嚴重影響，並對伊朗政府對外形象以及伊朗的網路安全防護能力造成了嚴重危害，由此可見DNS劫持的巨大威脅。

什麼是DNS劫持？

DNS劫持又稱域名劫持，是攻擊者利用缺陷對使用者的DNS進行篡改，將域名由正常IP指向攻擊者控制的IP，從而導致訪客被劫持到一個不可達或者假冒的網站，以此達到非法竊取使用者資訊或者破壞正常網路服務的目的。

DNS劫持可用於DNS域欺騙（攻擊者通常目的是為了顯示不需要的廣告以產生收入）或用於網路釣魚（為了讓使用者訪問虛網站並竊取使用者的資料和憑據）。網際網路服務提供商（ISP）也可能透過DNS劫持，以接管使用者的DNS請求，收集統計資料並在使用者訪問未知域名時返回廣告或者遮蔽對特定網站的訪問。

DNS劫持的危害

對使用者：DNS劫持嚴重影響使用者的上網體驗，使用者被劫持到假冒網站進而無法正常訪問目標網站，同時使用者還有可能被誘騙到一些違法詐騙網站進一步導致資訊的洩露甚至是對使用者的財產和人身安全造成嚴重威脅。

對域名持有者：對域名持有者而言，遭遇DNS劫持也是件非常嚴重的問題。它會導致持有者失去對域名的控制，站點無法被使用者訪問，使域名積累的流量被引導至惡意IP上，給域名持有者造成嚴重的經濟損失，甚至可能由於惡意IP的違法經營，為域名持有者帶來不必要的法律風險。

DNS劫持的攻擊方式

DNS快取感染

攻擊者使用DNS請求，將資料放入一個具有漏洞的DNS伺服器的快取當中。這些快取資訊會在使用者進行DNS訪問時返回給使用者，從而將使用者對正常域名的訪問引導到入侵者所設定木馬、釣魚等頁面上。

DNS資訊劫持

入侵者透過監聽客戶端和DNS伺服器的對話，可以猜測伺服器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號，DNS伺服器根據這個ID號獲取請求源位置。攻擊者在DNS伺服器之前將虛假的響應交給使用者，就可以欺騙客戶端去訪問惡意的網站。

DNS重定向

攻擊者如果將權威DNS伺服器重定向到惡意DNS伺服器，那麼被劫持域名的解析就完全置於攻擊者的控制之下。

ARP欺騙

ARP攻擊就是透過偽造IP地址和MAC地址實現ARP欺騙，能夠在網路中產生大量的ARP通訊量使網路阻塞，攻擊者只要持續不斷地發出偽造的ARP響應包就能更改目標主機ARP快取中的IP-MAC條目，造成網路中斷或中間人攻擊。

本機劫持

在計算機系統被木馬或流氓軟體感染後可能會出現部分域名的訪問異常，如訪問釣魚站點、無法訪問等情況，本機劫持有hosts檔案篡改、本機DNS劫持、SPI鏈注入、BHO外掛等方式，雖然並非都透過DNS環節完成，但都會造成無法按照使用者意願獲得正確的地址或者內容的後果。

DNS劫持的應對方式

1.定期的檢查域名的賬戶資訊及解析狀態是否存在異常，並對域名對應站點內容進行定期排查，檢查是否出現非本人或本公司設定的頁面。

2.定期修改域名管理系統平臺賬號密碼，使用較為複雜的密碼組合，並採用與其他平臺不同的密碼，避免攻擊者透過遍歷手段獲取賬號密碼，從而進行解析修改操作。

3.定期檢查網站索引和外部鏈的資訊，一旦發現異常，必須檢查清楚，並針對性予以解決，避免因為這些索引和外部鏈導致自己的網站受到威脅。

4.使用者端配置安全可靠的遞迴解析伺服器，網站方設定較小的TTL值，透過保證遞迴解析快取正確的方式避免劫持情況發生。

5.進行域名鎖定。域名鎖定是應對DNS劫持最有效的手段。在加鎖期間不接受使用者在 DNS 解析上的任何更改，包括對域名伺服器的修改，從而從根本上杜絕了攻擊者透過修改DNS記錄達到劫持域名的目的。

6.選擇正規專業的DNS服務商，可以獲得效能較為強大的域名解析和域名監測服務，及時發現域名異常狀態並快速解決。中科三方採用最新域名安全監測系統，針對使用者域名狀態進行24小時無縫監測，第一時間發現問題，並及時做出響應，時刻為使用者的域名安全保駕護航。

7.安裝SSL證書。SSL證書具備伺服器身份認證功能，可以使DNS 劫持導致的連線錯誤情況及時被發現和終止，同時 HTTPS 協議可以在資料傳輸中對資料進行加密傳輸，保護資料不被竊取和修改。

DNS劫持是一種十分常見和兇猛的網路攻擊手段，它不但會影響使用者對網站的正常訪問和使用，同時也會對域名持有者的利益和形象造成嚴重危害，因此網站管理者和運營者一定要提高警惕，選擇正規專業的域名解析服務商，定期檢查域名解析情況，發現問題及時與服務商聯絡，才能有效應對DNS劫持及其他型別的網路攻擊形式，保障使用者和域名持有者雙方的利益。