DNS劫持大事記

2021-02-15 360安全DNS

事件危害:黑客誘導原本想訪問正常銀行網站的受害者訪問到釣魚網站,並惡意竊取受害者的銀行帳目密碼信息。

事件還原:事件發生在2018年。黑客利用D-Link路由器的漏洞,入侵了至少500個家用路由器。黑客入侵後更改受害者路由器上的DNS配置,將受害者的DNS請求重定向到黑客自己搭建的惡意DNS伺服器上。黑客入侵後更改受害者路由器上的DNS配置,將受害者的DNS請求重定向到黑客自己搭建的惡意DNS伺服器上,最終誘導原本想訪問正常銀行網站的受害者訪問到釣魚網站,並惡意竊取受害者的銀行帳目密碼信息。

圖片參考:bankinfosecurity

上面兩個案例都是觸目驚心啊。接下來我們來介紹一下黑客們是怎麼做到DNS劫持的?

DNS解析原理

介紹劫持原理前,你需要先了解典型的DNS解析流程。

客戶端發起遞歸DNS請求,本地遞歸DNS(大多數情況下為運營商DNS)或者公共DNS通過迭代查詢請求多級的DNS權威伺服器,並最終將查詢結果返回給客戶端。可以看到,一次完整的DNS查詢:
• 鏈路長。查詢過程包含多次,多級的網絡通信。
• 參與角色多。查詢過程涉及客戶端,DNS遞歸伺服器,權威伺服器等角色。在一次完整DNS查詢鏈路的各個環節,其實都有可能被DNS劫持,下面的章節會逐一分析各種類型的DNS劫持。

DNS劫持分類

我們按照客戶端側--遞歸DNS伺服器--權威DNS伺服器的路徑,將DNS劫持做如下分類:

【一、本地DNS劫持】

客戶端側發生的DNS劫持統稱為本地DNS劫持。本地DNS劫持可能是:

黑客通過木馬病毒或者惡意程序入侵PC,篡改DNS配置(hosts文件,DNS伺服器地址,DNS緩存等)。

黑客利用路由器漏洞或者破擊路由器管理帳號入侵路由器並且篡改DNS配置。

一些企業代理設備(如Cisco     Umbrella intelligent proxy)針對企業內部場景對一些特定的域名做DNS劫持解析為指定的結果。

【二、DNS解析路徑劫持】

DNS解析過程中發生在客戶端和DNS伺服器網絡通信時的DNS劫持統一歸類為DNS解析路徑劫持。通過對DNS解析報文在查詢階段的劫持路徑進行劃分,又可以將DNS解析路徑劫持劃分為如下三類:

• DNS請求轉發

通過技術手段(中間盒子,軟體等)將DNS流量重定向到其他DNS伺服器。
案例:

• DNS請求複製

利用分光等設備將DNS查詢複製到網絡設備,並先於正常應答返回DNS劫持的結果。

案例:一個DNS查詢抓包返回兩個不同的應答。

• DNS請求代答

網絡設備或者軟體直接代替DNS伺服器對DNS查詢進行應答。

案例:一些DNS伺服器實現了SERVFAIL重寫和NXDOMAIN重寫的功能。

三、篡改DNS權威記錄】

篡改DNS權威記錄 我們這裡指的黑客非法入侵DNS權威記錄管理帳號,直接修改DNS記錄的行為。

案例:黑客黑入域名的管理帳戶,篡改DNS權威記錄指向自己的惡意伺服器以實現DNS劫持。

黑客黑入域名的上級註冊局管理帳戶,篡改域名的NS授權記錄,將域名授權給黑客自己搭建的惡意DNS伺服器以實現DNS劫持。

黑客黑入域名的上級註冊局管理帳戶,篡改域名的NS授權記錄,將域名授權給黑客自己搭建的惡意DNS伺服器以實現DNS劫持。

相關焦點

  • DNS劫持
    前兩天挖到一個組件漏洞的ssrf,然後打開dnslog小工具的時候發現竟然被DNS劫持了!
  • 【DNS】域名劫持
    )就成了上網時,很關鍵的一環,dns的快慢與穩定與否,關係著瀏覽時的正常;更有甚者,dns的健康與否,更會直接影響各個撥號客戶端的健康。 dns劫持現在不算新名詞了,從理解WWW以後,網絡的普及,it知識的豐富積累,大家都知道了能夠瀏覽網絡的基本原理:由客戶端發送域名請求給 dns,dns通過遍歷查詢dns資料庫,來解析此域名對應的ip,然後反饋至瀏覽器客戶端,客戶端通過ip與對方建立數據連接;這時,很關鍵的一環,就是dns服務,如果dns把你想要解析的地方,解析為錯誤的另一個地方,這地方是劫持者有自身利益的地方
  • 電腦DNS被劫持怎麼修復?電腦dns被劫持的完美解決方法
    近期,用戶稱自己電腦經常會莫名其妙彈出廣告,甚至會出現無法上網的情況,經過排除之後,發現了電腦的DNS被劫持了,那麼電腦DNS被劫持怎麼修復?
  • 手把手教你DNS劫持掛馬
    文章來源|MS08067 內網安全知識
  • 新手教程:區域網DNS劫持實戰
    這種攻擊的影響的範圍一般是很小的,只局限魚一個內網的範圍,總體來說還是不必擔心過多,當然,如果是運營商劫持,那就另當別論,不過運營商劫持一般也只是插入廣告,不會大膽的直接用這種方式進行釣魚攻擊。釣魚攻擊劫持支付在支付的界面進行劫持使得用戶的支付寶,或者銀行卡支付,使得支付到攻擊者的帳戶中植入廣告這種方式的DNS劫持一般是運營商所為的,大面積的劫持
  • 網絡安全:DNS域名劫持的幾種解決方法
    您還可以搜索公眾號「D1net「選擇關注D1net旗下的各領域(包括雲計算,智慧城市,數據中心,大數據,視頻會議,視頻監控,伺服器,存儲,虛擬化,軟體等)的子公眾號。===========================現在國內上網的用戶,大多家用的都是用的網通或者電信的adsl,這中間還分各省地區的撥號伺服器,dns(Domain Name System)就成了上網時,很關鍵的一環,dns的快慢與穩定與否,關係著瀏覽時的正常;更有甚者,dns的健康與否,更會直接影響各個撥號客戶端的健康。
  • dns劫持的主要方式
    DNS劫持也被稱為域名劫持,通過某個手段取得域名的解析控制權,修正該域名的解析結果,將對該域名的訪問從原來的IP位址變更為修正後的指定
  • DNS劫持和HTTP劫持有什麼不同?
    :DNS劫持和HTTP劫持。DNS劫持大部分網站都需要用到CDN,使用CDN加速後,源站IP被隱藏,用戶通過訪問最近節點,瀏覽網站內容,以達到網站被加速的目的。這個過程其實也可以說是DNS劫持的過程。與惡意DNS劫持不同的是,CDN服務商的目的是友好的,加速也經過網站管理員同意,我們經常說的DNS劫持,均指惡意的DNS劫持。
  • 不能訪問網站或不能登錄軟體(DNS被劫持)的解決辦法
    你常常就能看到運營商會把你給跳轉到什麼開通上網套餐之類的頁面,甚至會出現你輸入A購物網但卻被跳轉到競爭對手B的情況,這就是所謂的DNS劫持。  dns劫持現在不算新名詞了,從理解WWW以後,網絡的普及,it知識的豐富積累,大家都知道了能夠瀏覽網絡的基本原理:由客戶端發送域名請求給 dns,dns通過遍歷查詢dns資料庫,來解析此域名對應的ip,然後反饋至瀏覽器客戶端,客戶端通過ip與對方建立數據連接;這時,很關鍵的一環,就是dns服務,如果dns把你想要解析的地方,解析為錯誤的另一個地方,這地方是劫持者有自身利益的地方,例
  • DNS劫持詳解
    後來網站官方說網站被黑是一起DNS劫持事件(https://www.linux.org/threads/linux-org-dns-hijack-incident.21073/),對於網站被黑感到啼笑之餘,也同時讓我好奇DNS劫持到底是什麼,攻擊威力如此大。1.
  • App域名劫持之DNS高可用 - 開源版HttpDNS方案詳解
    HttpDNS是使用HTTP協議向DNS伺服器的80埠進行請求,代替傳統的DNS協議向DNS伺服器的53埠進行請求,繞開了運營商的Local DNS,從而避免了使用運營商Local DNS造成的劫持和跨網問題。 (具體httpdns是什麼?詳細閱讀見(【鵝廠網事】全局精確流量調度新思路-HttpDNS服務詳解):http://mp.weixin.qq.com/s?
  • 路由器DNS被劫持 解決辦法
    路由器DNS被劫持,不知道怎麼辦!因此跟大家說說遇到這種問題的解決辦法。DNS劫持是什麼?
  • ——dns劫持篇
    目錄一、什麼是DNS二、DNS原理三、什麼是DNS劫持及危害四、DNS劫持方法五、如何防止DNS劫持(網絡層面)六、如何防止DNS劫持(應用層面)七、歷史著名劫持案例一、什麼是DNS在網絡中,機器之間只認識IP位址,機器之間最終都要通過IP來互相訪問。
  • 【無線安全】使用Arduino編寫一個DNS劫持工具
    【無線安全】使用Arduino編寫一個DNS劫持工具0x01 前言:  我們已經在Bilibili上講過如何製作一個WiFi殺手https
  • Mac AppStore被劫持無法更新下載安裝軟體最新dns hosts設置
    這樣你會驚喜的發現像itunes.apple.com/us/這種被DNS劫持的網頁就可以順利打開了。以此你不需要額外進行其他手動操作來判斷你的網絡環境。蘋果手機IOS或者MacOS出現AppStore被劫持無法更新下載軟體,或者AppStore使用蘋果外區帳號美國AppleID帳號無法下載安裝軟體怎麼辦呢?
  • 簡單可行的dns使用方案
    但是很多時候運營商劫持汙染還是比較嚴重的,特別是一些國外的網站。使用adguard home,smartdns,dnsmasq,dnscrypt-proxy等等都是比較實用的dns方案,不過設置可能稍微比較麻煩一點。這一篇可能有一點經驗之談,也不一定對,不同地區不同運營商差別都是比較大的。1、如果沒有dns劫持情況,還是推薦使用當地運營商的dns為主。
  • 無線安全: 通過偽AP進行DHCP+DNS劫持的釣魚攻擊
    一旦我們的"偽DHCP伺服器"發送的數據包先被客戶端接收到,客戶端在採用我們的指定IP的同時,也會接受我們指定的首選DNS伺服器IP位址,這就是DNS劫持的第一步5. 這種DNS劫持比DNS投毒的效果還要好,一旦成功,在當前租約時間段內就是永久有效的6.
  • DNS劫持攻擊是什麼,DNS劫持攻擊的類型及解決方法
    DNS劫持攻擊是什麼DNS劫持攻擊亦稱為DNS重定向是一種網絡攻擊,攻擊者劫持用戶的DNS請求,錯誤地解析網站的IP位址,用戶試圖加載,從而將其重定向到網絡釣魚站點。vx swarm2021  要執行DNS劫持攻擊,攻擊者要麼在用戶的系統上安裝惡意軟體,要麼通過利用已知漏洞或破解DNS通信來接管路由器。
  • DNS劫持和DNS汙染的區別
    常用的手段有:DNS劫持和DNS汙染。什麼是DNS劫持DNS劫持就是通過劫持了DNS伺服器,通過某些手段取得某域名的解析記錄控制權,進而修改此域名的解析結果,導致對該域名的訪問由原IP位址轉入到修改後的指定IP,其結果就是對特定的網址不能訪問或訪問的是假網址,從而實現竊取資料或者破壞原有正常服務的目的。
  • 什麼是DNS?什麼是DNS汙染?什麼又是DNS劫持?
    某些網絡運營商為了某些目的,可能會限制某些用戶訪問某一些特定的網站,而限制手段最常用的就是DNS汙染和DNS劫持。DNS劫持DNS劫持又稱域名劫持,是指在劫持的網絡範圍內攔截域名解析的請求,分析請求的域名,把審查範圍以外的請求放行,否則返回假的IP位址或者什麼都不做使請求失去響應,其效果就是對特定的網絡不能訪問或訪問的是假網址。