什么是DNS劫持？如何进行有效应对？

今年6月份，美国政府以“违反制裁”为由关闭了伊朗30多个新闻媒体网站，将目标网站解析转移到了美国控制的IP上。此次事件中，美国“制裁”伊朗网站所采用的技术手段正是DNS劫持。这次攻击对伊朗众多用户正常访问和使用网站造成了严重影响，并对伊朗政府对外形象以及伊朗的网络安全防护能力造成了严重危害，由此可见DNS劫持的巨大威胁。

什么是DNS劫持？

DNS劫持又称域名劫持，是攻击者利用缺陷对用户的DNS进行篡改，将域名由正常IP指向攻击者控制的IP，从而导致访客被劫持到一个不可达或者假冒的网站，以此达到非法窃取用户信息或者破坏正常网络服务的目的。

DNS劫持可用于DNS域欺骗（攻击者通常目的是为了显示不需要的广告以产生收入）或用于网络钓鱼（为了让用户访问虚网站并窃取用户的数据和凭据）。互联网服务提供商（ISP）也可能通过DNS劫持，以接管用户的DNS请求，收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。

DNS劫持的危害

对用户：DNS劫持严重影响用户的上网体验，用户被劫持到假冒网站进而无法正常访问目标网站，同时用户还有可能被诱骗到一些违法诈骗网站进一步导致信息的泄露甚至是对用户的财产和人身安全造成严重威胁。

对域名持有者：对域名持有者而言，遭遇DNS劫持也是件非常严重的问题。它会导致持有者失去对域名的控制，站点无法被用户访问，使域名积累的流量被引导至恶意IP上，给域名持有者造成严重的经济损失，甚至可能由于恶意IP的违法经营，为域名持有者带来不必要的法律风险。

DNS劫持的攻击方式

DNS缓存感染

攻击者使用DNS请求，将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在用户进行DNS访问时返回给用户，从而将用户对正常域名的访问引导到入侵者所设置木马、钓鱼等页面上。

DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话，可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，就可以欺骗客户端去访问恶意的网站。

DNS重定向

攻击者如果将权威DNS服务器重定向到恶意DNS服务器，那么被劫持域名的解析就完全置于攻击者的控制之下。

ARP欺骗

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

本机劫持

在计算机系统被木马或流氓软件感染后可能会出现部分域名的访问异常，如访问钓鱼站点、无法访问等情况，本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式，虽然并非都通过DNS环节完成，但都会造成无法按照用户意愿获得正确的地址或者内容的后果。

DNS劫持的应对方式

1.定期的检查域名的账户信息及解析状态是否存在异常，并对域名对应站点内容进行定期排查，检查是否出现非本人或本公司设置的页面。

2.定期修改域名管理系统平台账号密码，使用较为复杂的密码组合，并采用与其他平台不同的密码，避免攻击者通过遍历手段获取账号密码，从而进行解析修改操作。

3.定期检查网站索引和外部链的信息，一旦发现异常，必须检查清楚，并针对性予以解决，避免因为这些索引和外部链导致自己的网站受到威胁。

4.用户端配置安全可靠的递归解析服务器，网站方设置较小的TTL值，通过保证递归解析缓存正确的方式避免劫持情况发生。

5.进行域名锁定。域名锁定是应对DNS劫持最有效的手段。在加锁期间不接受用户在 DNS 解析上的任何更改，包括对域名服务器的修改，从而从根本上杜绝了攻击者通过修改DNS记录达到劫持域名的目的。

6.选择正规专业的DNS服务商，可以获得性能较为强大的域名解析和域名监测服务，及时发现域名异常状态并快速解决。中科三方采用最新域名安全监测系统，针对用户域名状态进行24小时无缝监测，第一时间发现问题，并及时做出响应，时刻为用户的域名安全保驾护航。

7.安装SSL证书。SSL证书具备服务器身份认证功能，可以使DNS 劫持导致的连接错误情况及时被发现和终止，同时 HTTPS 协议可以在数据传输中对数据进行加密传输，保护数据不被窃取和修改。

DNS劫持是一种十分常见和凶猛的网络攻击手段，它不但会影响用户对网站的正常访问和使用，同时也会对域名持有者的利益和形象造成严重危害，因此网站管理者和运营者一定要提高警惕，选择正规专业的域名解析服务商，定期检查域名解析情况，发现问题及时与服务商联系，才能有效应对DNS劫持及其他类型的网络攻击形式，保障用户和域名持有者双方的利益。