DNS是網絡連接中的重要一環，它與路由系統共同組成互聯網上的尋址系統，如果DNS遭遇故障，“導航系統”失效，網絡連接就會出現無法觸達或到達錯誤地址的情況。由于的DNS重要作用及天生脆弱性，導致DNS自誕生之日起，就成為網絡攻擊的重點目標，其中DNS劫持是最常見危害最大的攻擊方式。接下來，本文針對DNS劫持原理和應對方式做下簡單介紹。

什么是DNS劫持？

DNS劫持就是通過各種技術手段取得域名的解析控制權，進而修改域名的解析記錄，將域名指向的服務器IP修改為受控制的IP地址，從而將用戶引導至虛假網站，實現竊取用戶信息，破壞正常服務的目的。

DNS劫持的危害

DNS劫持的危害是雙向多面的。對于用戶而言，它通過將用戶引導至與原網站十分相似的網站，并誘導用戶輸入賬號、密碼、身份證等敏感信息，從而造成個人信息泄露、財產損失等風險。對于企業機構而言，它會讓企業機構失去對域名的控制權，導致站點不能訪問，正常流量流失，業務無法正常運行，進而對企業形象和經濟利益造成影響。

DNS劫持示意圖

DNS劫持案例

（1）2009年巴西最大銀行Bandesco巴西銀行遭遇DNS劫持，1%的用戶被釣魚。受影響的用戶被重定向到另一個虛假銀行網站，該網站試圖竊取用戶密碼并安裝惡意軟件。

（2）2010年1月12日，發生著名的“百度域名被劫持”事件，很多網民發現百度首頁無法登錄的異常情況。而根據百度域名的whois查詢結果發現，該網站域名被劫持到雅虎下面的兩個域名服務器，另有部分網民發現網站頁面被篡改成黑色背景和伊朗國旗，對百度的安全形象和業務運行造成非常惡劣的影響。

（3）2012年，日本三井住友銀行、三菱東京日聯銀行和日本郵儲銀行提供的網上銀行服務都被釣魚網站劫持，出現試圖獲取用戶信息的虛假頁面，當用戶登錄官網網站后，會彈出要求用戶輸入賬號密碼的頁面，頁面上還顯示銀行的標志，如果不仔細分辨，很難分清真假。

（4）2013年5月，發生史上最大規模的DNS釣魚攻擊事件，造成800用戶被感染。

（5）2014年1月21日，全國出現大范圍DNS故障，中國頂級域名根服務器發生故障，造成大部分網站受影響。

從上面這些案例中可以看出DNS劫持是一種范圍波及大、影響深遠的網絡攻擊手段，不但對用戶的信息財產安全造成嚴重的威脅，也會對企業的品牌形象、線上流量以及業務開展產生巨大損失，因此了解DNS劫持原理并針對性地做好應對策略至關重要。

DNS劫持原理

介紹DNS劫持原理，需要首先了解典型的DNS解析流程。當客戶端發起域名請求時，本地遞歸服務器（大多數情況下為運營商DNS）或公共DNS會通過向根域名服務器、頂級域名服務器到權威域名服務器一級一級查詢，并將最終查詢結果返回給客戶端。

除了這種典型解析流程外，由于DNS緩存的存在，當客戶端發起請求時，瀏覽器緩存、hosts文件、本地遞歸服務器DNS緩存會先將本地儲存的解析記錄直接告知客戶端，從而省去全球遞歸查詢的步驟。

從上面DNS解析流程中可以看出，一次完整的DNS查詢具備以下兩個特點：

鏈路長，查詢過程包含多次、多級網絡通信；

參與角色多，查詢過程涉及客戶端（瀏覽器緩存、hosts文件）、遞歸解析服務器、權威解析服務器等角色。

在一次完整DNS查詢鏈路的各個環節，都可以通過技術手段將域名解析記錄進行篡改，將域名指向劫持到錯誤的IP地址上。下面會逐一介紹各類型的DNS劫持。

DNS解析流程圖

DNS劫持類型

1.本地DNS劫持

本地DNS劫持是指發生在客戶端側的各類DNS劫持，包括：

（1）通過木馬或者惡意程序入侵客戶端，篡改DNS緩存、hosts文件、DNS服務器地址等DNS相關配置；

（2）利用路由器漏洞入侵路由器，并針對路由器中的DNS緩存進行篡改。

2.DNS解析路徑劫持

DNS解析路徑劫持是指發生在客戶端和DNS服務器網絡通信間的DNS劫持方式。通過對DNS劫持報文在查詢階段的路徑進行劃分，又可將DNS劫持分為四類：

（1）DNS請求轉發

通過中間盒子、軟件等技術手段將用戶發出的DNS請求重定向到由攻擊者控制的流氓DNS服務器，從而將其重定向到惡意站點。

（2）DNS請求復制

將DNS查詢復制到網絡設備，并在用戶發起請求時先于正常應答返回DNS劫持的結果，這種方式表現為一個DNS查詢抓包返回兩個不同的應答。

（3）DNS請求代答

通過利用網絡設備或軟件代替DNS服務器對DNS查詢進行應答。

（4）DNS緩存感染

DNS緩存感染是指攻擊者在遞歸解析服務器投入錯誤的緩存信息，當訪問者發起解析請求時，遞歸服務器就會從DNS緩存中將錯誤的解析記錄返回，從而將用戶引導至錯誤的網站。

DNS緩存污染原理圖

3.篡改DNS權威記錄

篡改DNS權威記錄是指攻擊者非法入侵DNS權威記錄管理平臺賬號，控制DNS解析設置權限，直接修改DNS解析記錄的行為。通過這種方式可以將權威服務器下特定域名的解析指向惡意服務器以實現DNS劫持的目的。

DNS劫持應對方案

（1）安裝殺毒軟件，可以有效防御木馬病毒和惡意軟件，并定期修改路由器管理賬號密碼和更新固件；

（2）企業端可以設置更小的TTL值，實現DNS緩存的短時間更新，用戶端可以定期刷新DNS緩存，從而讓用戶發起請求時盡可能去請求權威服務器，降低DNS緩存被污染的可能；

（3）加強域名賬戶的安全等級，使用強度較高的密碼，并定期更換密碼；

（4）定期查看域名賬戶信息、域名whois信息以及域名解析生效狀態，發現異常及時聯系域名服務商；

（5）選擇安全技術實力過硬的域名注冊商，并且給自己的域名權威數據上鎖，防止域名權威數據被篡改。

（6）在客戶端和遞歸DNS服務器通信的最后階段中使用DNS加密技術，如DNS-over-TLS，DNS-over-HTTPS等。