DNS劫持作为最常见的网络攻击形式,是每个站长或运维团队最头疼的问题。 当一个精心管理的网站被DNS劫持时,不仅会影响网站流量和权重,还会使用户面临风险、泄露隐私、造成财产损失。
正是这样极其简单的攻击手段,在2009年轰动全球的“银行劫持案”中,导致巴西最大银行布拉德斯科银行近1%的客户遭到攻击,账户被盗。 黑客利用宽带路由器的缺陷篡改用户的DNS——当用户浏览黑客创建的网页时,其宽带路由器的DNS就会被黑客篡改。 由于该网页包含精心设计的恶意代码,因此成功逃避了安全软件的检测。 结果,大量用户被DNS钓鱼诈骗。
网站被黑客攻击、恶意镜像、植入垃圾代码的情况并不少见。 其危害包括:
但面对DNS劫持,我们能投降吗?
知己知彼,什么是DNS?
DNS 是域名系统的缩写。 域名系统以分布式数据库的形式将域名和IP地址相互映射。 简单来说,DNS就是用来解析域名的。 正常情况下,每个用户的上网请求都会通过DNS解析定向到匹配的IP地址,从而完成一次上网行为。 DNS作为应用层协议,主要为其他应用层协议工作,包括但不限于HTTP、SMTP、FTP等。 它用于将用户提供的主机名解析为IP地址。 具体流程如下:
(1)运行在用户主机(PC或手机)上的DNS客户端;
(2)浏览器从接收到的URL中提取域名字段,即访问的主机名,并将该主机名传输给DNS应用的客户端;
(3)DNS客户端向DNS服务器发送查询消息,其中包含要访问的主机名字段(包括一系列缓存查询和分布式DNS集群的工作);
(4) DNS客户端最终会收到回复消息,其中包含主机名对应的IP地址;
(5) 浏览器从DNS收到IP地址后,就可以向该IP地址所在的HTTP服务器发起TCP连接。
(图片来源于网络,仅供参考)
可见,想要获取目标网站IP,除了本机上的搜索行为外,还需要第三方服务器(DNS)的参与。 但只要经过第三方服务,网络不在可控范围内arp攻击源查找软件,就有可能发生DNS劫持。 例如,获取到的IP不是实际想要的IP,从而打开非目标网站。 当网站被本地DNS解析后,黑客将本地DNS缓存中的目标网站替换为另一个网站的IP并返回。 客户端不知道这一点,仍然遵循正常的寻址和建立连接过程。 如果有的黑客想要盗取用户的账号和密码,黑客可以制作一个与目标网站一模一样的木马页面,让用户登录,当用户输入密码并提交后,就会被骗。
常见的DNS劫持方式有哪些?
(1)利用DNS服务器进行DDoS攻击
正常的 DNS 服务器递归查询过程被利用并转变为 DDoS 攻击。 假设黑客知道被攻击机器的IP地址,并且攻击者使用该地址作为发送解析命令的源地址。 当使用DNS服务器递归查询时,响应将返回给原始用户。 如果黑客控制了足够大的肉鸡来执行上述操作。 那么,这个初始用户就会受到来自DNS服务器的响应信息的DDoS攻击arp攻击源查找软件,成为受害者。
(2) DNS缓存感染
黑客使用 DNS 请求将数据注入易受攻击的 DNS 服务器缓存。 这些缓存的信息会在客户进行DNS访问时返回给用户,将用户对正常域名的访问引导到入侵者设置的页面进行挂马、钓鱼等,或者通过获取用户的密码信息伪造电子邮件和其他服务,导致客户遭受进一步的侵权。
(3) DNS信息劫持
原则上,TCP/IP系统通过序列号等方式避免伪造数据插入,但通过监听客户端与DNS服务器之间的对话,黑客可以解析服务器响应客户端的DNS查询ID。 每个DNS消息都包含一个关联的16位ID,DNS服务器根据该ID获取请求的源位置。 黑客在 DNS 服务器前向用户发送虚假响应,诱骗客户访问恶意网站。 假设当提交给域名服务器进行域名解析请求的数据包被截获时,根据黑客的意图,向请求者返回一个虚假的IP地址作为响应消息。 这时,原来的请求者就会使用这个假IP地址作为自己想要请求连接的域名。 显然,它是被定向到别处的,根本无法连接到它想要连接的域名。
(4)ARP欺骗
ARP欺骗是通过伪造IP地址和MAC地址,在网络中产生大量的ARP流量,阻塞网络来实现的。 只要黑客继续发送伪造的ARP响应报文,就可以改变目标主机ARP缓存中的IP-MAC条目,从而导致网络中断。 或者中间人攻击。 ARP攻击主要存在于局域网中。 如果局域网中的一台计算机感染了ARP木马,则感染ARP木马的系统会尝试通过“ARP欺骗”拦截网络中其他计算机的通信信息,从而造成网络损坏。 计算机内与其他计算机通讯失败。 ARP欺骗通常发生在用户本地网络中,导致用户向错误的方向访问域名。 但IDC机房被入侵后,攻击者也可能利用ARP数据包压制正常主机或压制DNS服务器,从而将访问定向到错误的方向。 。
DNS劫持对业务有何影响?
一旦被劫持,相关用户查询将无法获得正确的IP解析,很容易导致:
(1)很多用户习惯依靠书签或者好记的域名来进入。 一旦被劫持,此类用户将无法打开网站。 如果他们更换域名,则无法及时获知变更情况,导致大量用户流失。
(2)用户流量主要通过搜索引擎SEO进入。 DNS被劫持后,搜索引擎蜘蛛将无法抓取正确的IP,网站可能会被百度封禁。
(3)部分域名用于移动应用APP调度。 这些域名不需要可供客户访问,但这些域名的解析与应用APP的访问有关。 如果分辨率被劫持,应用APP将无法访问。 此时更改域名可能会导致APP被下架。 重新上市需要审核,不得重新上市。 这会导致应用APP存在一个窗口期,在此期间用户无法访问或下载。
可见,DNS劫持对业务影响巨大,不仅造成用户体验的损失,还给用户资产安全、数据安全带来潜在的巨大风险。
如何监控网站是否被DNS劫持?
借助ARMS-云拨号测试,对网站进行实时监控,实现分钟级监控,及时发现DNS劫持和页面篡改。
劫持检测
利用域名白名单和元素白名单,有效检测域名劫持和元素篡改。 在创建拨号测试任务时,我们可以设置DNS劫持白名单。 比如我们配置DNS劫持格式的文件内容为:201.1.1.22|250.3.44.67。 这意味着除了201.1.1.22和250.3.44.67之外的所有域名都被劫持了。
我们将原始页面的元素类型添加到页面篡改白名单中,测试时将加载的元素与白名单进行比较,判断页面是否被篡改。 比如我们的配置页篡改的文件内容为:|/cc/bb/a.gif|/vv/bb/cc.jpg,也就是说该域名下,除了基本文件,/cc/ bb/a.gif 和 / vv/bb/cc.jpg 以外的元素属于被篡改的页面。 再比如,我们配置页面篡改的文件内容是:*,意思是:该域名下的所有元素都不被认为被篡改。
劫持警报
除了持续监控之外,及时警报也至关重要。 通过灵活配置劫持报警比例,当某个任务的劫持比例大于阈值时,快速通知相关运维团队对网站进行维护,保证用户数据安全和网站正常浏览。
在提升用户体验的同时,保证网站和用户资产的安全对于企业来说也至关重要。 云拨测保护您的网站安全和用户体验!
