DNS 劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP 地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能反應或訪問的

DNS 劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP 地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能反應或訪問的是假網址。

目錄1基本原理

2應對方法

3DNS 劫持變種

4歷史事件

5拓展閱讀

1基本原理

DNS （域名劫持）是把網絡地址（域名，以一個字符串的形式）對應到真實的計算機能夠識別的網絡地址（IP 地址），以便計算機能夠進一步通信，傳遞網址和內容等。由于域名劫持往往只能在特定的被劫持的網絡范圍內進行，所以在此范圍外的域名服務器(DNS)能夠返回正常的IP 地址，高級用戶可以在網絡設置把DNS 指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS 的IP 。

如果知道該域名的真實IP 地址，則可以直接用此IP 代替域名后進行訪問。比如訪問百度域名，可以把訪問改為202.108.22.5，從而繞開域名劫持 。

2應對方法DNS 劫持(DNS釣魚攻擊) 十分兇猛且不容易被用戶感知，曾導致巴西最大銀行巴西銀行近1客戶受到攻擊而導致賬戶被盜。此次由國內領先的DNS 服務商114DNS 率先發(fā)現的DNS 劫持攻擊，黑客利用寬帶路由器的缺陷對用戶DNS 進行篡改——用戶只要瀏覽一下黑客所掌控的WEB 頁面，其寬帶路由器的DNS 就會被黑客篡改，因為該WEB 頁面沒有特別的惡意代碼，所以可以成功躲過安全軟件檢測，導致大量用戶被DNS 釣魚詐騙。

由于一些未知原因，在極少數情況下自動修復不成功，建議您手動修改。同時，為了避免再次被攻擊，即使修復成功，用戶也可按照騰訊電腦管家提示的方法修改路由器的登錄用戶名和密碼。下面以用戶常用的TP-link 路由器為例來說明修改方法（其他品牌路由器與該方法類似）。

1. 手動修改路由器設置

（1）在地址欄中輸入：http ：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http ：//192.168.0.1

（2）. 填寫您路由器的用戶名和密碼，點擊“確定”

（3） 在“DHCP 服務器—DHCP ”服務中，填寫主DNS 服務器為更可靠的114.114.114.114地址，備用DNS 服務器為8.8.8.8，如下圖所示，點擊保存即可。

2. 修改路由器密碼

（1）在地址欄中輸入：http ：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http ：//192.168.0.1）

（2）. 填寫您路由器的用戶名和密碼，路由器初始用戶名為admin ，密碼也是admin ，如果您修改過，則填寫修改后的用戶名和密碼，點擊“確定”

（3）填寫正確后，會進入路由器密碼修改頁面，在系統(tǒng)工具——修改登錄口令頁面即可完成修改（原用戶名和口令和2中填寫的一致）

預防DNS 劫持

其實，DNS 劫持并不是什么新鮮事物，也并非無法預防，百度被黑事件的發(fā)生再次揭示了全球DNS 體系的脆弱性，并說明互聯網廠商如果僅有針對自身信息系統(tǒng)的安全預案，就不足以快速應對全面而復雜的威脅。因此，互聯網公司應采取以下措施：

1、互聯網公司準備兩個以上的域名，一旦黑客進行DNS 攻擊，用戶還可以訪問另一個域名。

2、互聯網應該對應急預案進行進一步修正，強化對域名服務商的協調流程。

3、域名注冊商和代理機構特定時期可能成為集中攻擊目標，需要加以防范。

4、國內有關機構之間應該快速建立與境外有關機構的協調和溝通，協助國內企業(yè)實現對此事件的快速及時的處理。

3DNS 劫持變種

上周百度搜索上線了一個非常重要的策略，如果發(fā)現有網站被植入惡意篡改用戶路由DNS 的代碼時，就會攔截頁面，打出提示！據安全聯盟的統(tǒng)計發(fā)現過萬的網站被黑，植入了路由DNS 劫持代碼，這個數量非常之大。

過去一段時間，知道創(chuàng)宇安全研究團隊就捕獲了至少5個變種。這類攻擊的模式一般是： 攻擊者黑下一批網站；

攻擊者往這批網站里植入路由DNS 劫持代碼（各種變形）；

攻擊者傳播或坐等目標用戶訪問這批網站；

用戶訪問這些網站后，瀏覽器就會執(zhí)行“路由DNS 劫持代碼”；

用戶的家庭/公司路由器如果存在漏洞就會中招；

用戶上網流量被“假DNS 服務器”劫持，并出現奇怪的廣告等現象；

雖然這次攻擊主要針對Tp-Link 路由器，不過中招的路由不僅TP-Link ！對此安全聯盟推出DNS 劫持專題[1]，為網民及站長提供詳細解決方案。

4歷史事件時間 事件

2013年5月6日 史上最大規(guī)模DNS 釣魚攻擊預估已致800萬用戶感染，以全網2億用戶進行估算，每天至少有800萬用戶處于DNS 釣魚攻擊威脅中[2]

2012年 日本郵儲銀行、三井住友銀行和三菱東京日聯銀行各自提供的網上銀行服務都被釣魚網站劫持

2010年1月12日 “百度域名被劫持”事件[3]

2009 巴西最大銀行遭遇DNS 攻擊，1用戶被釣魚

[2]2013年5月6日，據國內DNS 服務提供商114DNS 官方微博（參考資料：114DNS 官方微博）消息：新一輪DNS 釣魚攻擊已經突破國內安全防線，可能已經導致國內數百萬用戶感染。此攻擊利用路由器的弱口令，以及路由器的web 管理接口進行攻擊，通過Start_apply頁面修改DNS 服務器地址以實現釣魚攻擊，此前DNS 劫持曾致巴西最大銀行癱瘓； 用戶可手動修改DNS 為114.114.114.114（或114.114.115.115）避免受到攻擊 。114DNS 平臺負責人介紹，114DNS 為多個電信運營商與南京信風共建的超大型DNS 平臺，為公眾免費提供全國通用的DNS 解析，為企業(yè)提供高可靠權威DNS 解析，同時為電信運營提供DNS 應急災備。114DNS 在電信運營商那關聯的DNS 異常監(jiān)測系統(tǒng)，率先發(fā)現了黑客集團發(fā)動的此次DNS 釣魚攻擊。

隨后，安全軟件及服務商騰訊電腦管家(參考資料：騰訊電腦管家官網) 通過官方微博（參考資料：騰訊電腦管家官方微博）對此消息予以了證實，據騰訊電腦管家安全監(jiān)測數據顯示：至少有4的全網用戶受到感染；以全網2億用戶進行估算，每天至少有800萬用戶處于DNS 釣魚攻擊威脅中。114DNS 及騰訊電腦管家對此次DNS 劫持攻擊進行了安全防御響應，騰訊電腦管家已完成產品安全策略升級，可以有效識別被黑客篡改的DNS 并攔截此類DNS 指向的釣魚網站，為用戶提供修復方案，并向廣大用戶發(fā)出了安全風險警告。

2012年，據日本《日經電腦》報道，日本郵儲銀行、三井住友銀行和三菱東京日聯銀行于2012年10月25日和10月26日分別發(fā)布公告提醒用戶，三家銀行各自提供的網上銀行服務都被釣魚網站劫持，出現要求用戶輸入信息的虛假頁面，在登錄官方網站后，會彈出要求用戶輸入密碼等的窗口畫面，本次虛假彈出式窗口頁面的目的在于盜取用戶網上銀行服務的密碼。這種彈出式窗口頁面上還顯示有銀行的標志等，乍看上去像真的一樣。

DNS 劫持曾制造2010年“百度域名被劫持”事件[3]2010年1月12日上午7時40分，有網民發(fā)現百度首頁登陸發(fā)生異常情況。上午8時后，在中國內地大部分地區(qū)和美國、歐洲等地都無法以任何方式正常登陸百度網站，而百度域名的WHOIS 傳輸協議被無故更改，網站的域名被更換至雅虎屬下的兩個域名服務器，部分網民更發(fā)現網站頁面被篡改成黑色背景以及伊朗國旗，同時顯示“This site has been hacked by Iranian Cyber Army”（該網站已被伊朗網軍入侵）字樣以及一段阿拉伯文字，然后跳轉至英文雅虎主頁，這就是“百度域名被劫持”事件。

巴西最大銀行曾遭遇DNS 攻擊，1用戶被釣魚

2009年巴西一家最大銀行Bandesco 巴西銀行，曾遭受DNS 緩存病毒攻擊，成為震驚全球的““銀行劫持案”。受到影響的用戶會被重定向至一個假冒的銀行網站，該假冒網站試圖竊取用戶密碼并安裝惡意軟件。DNS 緩存病毒攻擊是利用互聯網域名系統(tǒng)中的漏洞進行的，沒有及時打補丁的ISP 很容易受到攻擊。合法的IP 會被某個網站給取代，即使終端用戶輸入正確的網址也會被重定向至那些惡意網站。有近1的銀行客戶受到了攻擊，如果這些客戶注意到了銀行SSL 證書在被重定向時出現的錯誤提示，就不會上當受騙。

5拓展閱讀2013DNS 劫持釣魚事件，114DNS, 網絡釣魚，釣魚網站

詞條圖冊

更多圖冊

◆

參考資料

1． 安全聯盟站長平臺DNS 劫持專題 ．安全聯盟站長平臺 [引用日期2013-11-19] ．

2． 史上最大規(guī)模“54DNS 劫持”已得到有效遏制 ．中國廣播網 [引用日期2013-05-23] ．

3． 百度域名被劫持 黑客篡改DNS 解析記錄 ．新浪科技 [引用日期2013-05-23] ．

詞條標簽：互聯網網絡計算機網絡安全