DNS劫持作为最常见的网络攻击形式，是每个站长或运维团队最头疼的问题。 当一个精心管理的网站被DNS劫持时，不仅会影响网站流量和权重，还会使用户面临风险、泄露隐私、造成财产损失。

正是这样极其简单的攻击手段，在2009年轰动全球的“银行劫持案”中，导致巴西最大银行布拉德斯科银行近1%的客户遭到攻击，账户被盗。 黑客利用宽带路由器的缺陷篡改用户的DNS——当用户浏览黑客创建的网页时，其宽带路由器的DNS就会被黑客篡改。 由于该网页包含精心设计的恶意代码，因此成功逃避了安全软件的检测。 结果，大量用户被DNS钓鱼诈骗。

网站被黑客攻击、恶意镜像、植入垃圾代码的情况并不少见。 其危害包括：

但面对DNS劫持，我们能投降吗？

知己知彼，什么是DNS？

DNS 是域名系统的缩写。 域名系统以分布式数据库的形式将域名和IP地址相互映射。 简单来说，DNS就是用来解析域名的。 正常情况下，每个用户的上网请求都会通过DNS解析定向到匹配的IP地址，从而完成一次上网行为。 DNS作为应用层协议，主要为其他应用层协议工作，包括但不限于HTTP、SMTP、FTP等。 它用于将用户提供的主机名解析为IP地址。 具体流程如下：

（1）运行在用户主机（PC或手机）上的DNS客户端；

(2)浏览器从接收到的URL中提取域名字段，即访问的主机名，并将该主机名传输给DNS应用的客户端；

（3）DNS客户端向DNS服务器发送查询消息，其中包含要访问的主机名字段（包括一系列缓存查询和分布式DNS集群的工作）；

(4) DNS客户端最终会收到回复消息，其中包含主机名对应的IP地址；

(5) 浏览器从DNS收到IP地址后，就可以向该IP地址所在的HTTP服务器发起TCP连接。

（图片来源于网络，仅供参考）

可见，想要获取目标网站IP，除了本机上的搜索行为外，还需要第三方服务器（DNS）的参与。 但只要经过第三方服务，网络不在可控范围内arp攻击源查找软件，就有可能发生DNS劫持。 例如，获取到的IP不是实际想要的IP，从而打开非目标网站。 当网站被本地DNS解析后，黑客将本地DNS缓存中的目标网站替换为另一个网站的IP并返回。 客户端不知道这一点，仍然遵循正常的寻址和建立连接过程。 如果有的黑客想要盗取用户的账号和密码，黑客可以制作一个与目标网站一模一样的木马页面，让用户登录，当用户输入密码并提交后，就会被骗。

常见的DNS劫持方式有哪些？

(1)利用DNS服务器进行DDoS攻击

正常的 DNS 服务器递归查询过程被利用并转变为 DDoS 攻击。 假设黑客知道被攻击机器的IP地址，并且攻击者使用该地址作为发送解析命令的源地址。 当使用DNS服务器递归查询时，响应将返回给原始用户。 如果黑客控制了足够大的肉鸡来执行上述操作。 那么，这个初始用户就会受到来自DNS服务器的响应信息的DDoS攻击arp攻击源查找软件，成为受害者。

(2) DNS缓存感染

黑客使用 DNS 请求将数据注入易受攻击的 DNS 服务器缓存。 这些缓存的信息会在客户进行DNS访问时返回给用户，将用户对正常域名的访问引导到入侵者设置的页面进行挂马、钓鱼等，或者通过获取用户的密码信息伪造电子邮件和其他服务，导致客户遭受进一步的侵权。

(3) DNS信息劫持

原则上，TCP/IP系统通过序列号等方式避免伪造数据插入，但通过监听客户端与DNS服务器之间的对话，黑客可以解析服务器响应客户端的DNS查询ID。 每个DNS消息都包含一个关联的16位ID，DNS服务器根据该ID获取请求的源位置。 黑客在 DNS 服务器前向用户发送虚假响应，诱骗客户访问恶意网站。 假设当提交给域名服务器进行域名解析请求的数据包被截获时，根据黑客的意图，向请求者返回一个虚假的IP地址作为响应消息。 这时，原来的请求者就会使用这个假IP地址作为自己想要请求连接的域名。 显然，它是被定向到别处的，根本无法连接到它想要连接的域名。

(4)ARP欺骗

ARP欺骗是通过伪造IP地址和MAC地址，在网络中产生大量的ARP流量，阻塞网络来实现的。 只要黑客继续发送伪造的ARP响应报文，就可以改变目标主机ARP缓存中的IP-MAC条目，从而导致网络中断。 或者中间人攻击。 ARP攻击主要存在于局域网中。 如果局域网中的一台计算机感染了ARP木马，则感染ARP木马的系统会尝试通过“ARP欺骗”拦截网络中其他计算机的通信信息，从而造成网络损坏。 计算机内与其他计算机通讯失败。 ARP欺骗通常发生在用户本地网络中，导致用户向错误的方向访问域名。 但IDC机房被入侵后，攻击者也可能利用ARP数据包压制正常主机或压制DNS服务器，从而将访问定向到错误的方向。 。

DNS劫持对业务有何影响？

一旦被劫持，相关用户查询将无法获得正确的IP解析，很容易导致：

(1)很多用户习惯依靠书签或者好记的域名来进入。 一旦被劫持，此类用户将无法打开网站。 如果他们更换域名，则无法及时获知变更情况，导致大量用户流失。

（2）用户流量主要通过搜索引擎SEO进入。 DNS被劫持后，搜索引擎蜘蛛将无法抓取正确的IP，网站可能会被百度封禁。

（3）部分域名用于移动应用APP调度。 这些域名不需要可供客户访问，但这些域名的解析与应用APP的访问有关。 如果分辨率被劫持，应用APP将无法访问。 此时更改域名可能会导致APP被下架。 重新上市需要审核，不得重新上市。 这会导致应用APP存在一个窗口期，在此期间用户无法访问或下载。

可见，DNS劫持对业务影响巨大，不仅造成用户体验的损失，还给用户资产安全、数据安全带来潜在的巨大风险。

如何监控网站是否被DNS劫持？

借助ARMS-云拨号测试，对网站进行实时监控，实现分钟级监控，及时发现DNS劫持和页面篡改。

劫持检测

利用域名白名单和元素白名单，有效检测域名劫持和元素篡改。 在创建拨号测试任务时，我们可以设置DNS劫持白名单。 比如我们配置DNS劫持格式的文件内容为：201.1.1.22|250.3.44.67。 这意味着除了201.1.1.22和250.3.44.67之外的所有域名都被劫持了。

我们将原始页面的元素类型添加到页面篡改白名单中，测试时将加载的元素与白名单进行比较，判断页面是否被篡改。 比如我们的配置页篡改的文件内容为：|/cc/bb/a.gif|/vv/bb/cc.jpg，也就是说该域名下，除了基本文件，/cc/ bb/a.gif 和 / vv/bb/cc.jpg 以外的元素属于被篡改的页面。 再比如，我们配置页面篡改的文件内容是：*，意思是：该域名下的所有元素都不被认为被篡改。

劫持警报

除了持续监控之外，及时警报也至关重要。 通过灵活配置劫持报警比例，当某个任务的劫持比例大于阈值时，快速通知相关运维团队对网站进行维护，保证用户数据安全和网站正常浏览。

在提升用户体验的同时，保证网站和用户资产的安全对于企业来说也至关重要。 云拨测保护您的网站安全和用户体验！