域名系统 (DNS) 劫持对您的系统构成严重威胁,并可能造成代价高昂的后果。由于该攻击使恶意第三方能够接管 DNS 设置并将用户重新路由到欺诈网站,这可能会影响各种不同的用户。要完全理解 DNS 劫持,大致了解 DNS 是什么及其作用很重要。
简而言之,DNS 用于跟踪、登记和管理世界各地的网站。它允许用户通过将域名(如 kaspersky.com)转换为用户浏览器加载互联网资源(如网页或博客文章)所需的 IP 地址来访问信息。如果您要更深入地了解 DNS 的工作原理,请查看我们关于 DNS 欺骗和缓存中毒的文章。
现在您对 DNS 是什么及其用途有了更好的了解,让我们进一步研究 DNS 劫持。
- 什么是 DNS 劫持?
- DNS 劫持的原理是什么?
- 如何检测 DNS 劫持?
- 如何防止 DNS 劫持?
- 关于 DNS 劫持的常见问题
什么是 DNS 劫持?
域名系统劫持,也称为 DNS 重定向攻击,是指从受害者浏览器发送的 DNS 查询被错误解析,将用户重定向到恶意网站。
一些 DNS 欺骗攻击,如 DNS 缓存中毒(您的系统在本地内存缓存中记录欺诈性 IP 地址)侧重于修改 DNS 记录,而 DNS 劫持涉及更改 DNS 设置本身,通常是通过在受害者的计算机上安装恶意软件来实现。这使得黑客可以接管您的路由器、拦截 DNS 信号或简单地入侵 DNS 通信。DNS 劫持通常是一种对更广泛的域名系统更具破坏性的攻击。
对于个人用户和企业来说这都是一个大问题。对于单个用户,它允许劫持者实施网络钓鱼欺诈(向受害者显示合法网站的虚假版本,窃取用户数据,例如密码、登录凭据和信用卡信息)。但是,对于面向消费者的网页(例如属于某个企业的网页),它允许网络犯罪分子将您公司的网站访问者重定向到他们创建的欺诈页面。一旦您的用户进入由黑客构建的网页,这些网页就会再次被用来窃取登录凭据和机密个人数据。这可能包括与您的企业内部运作相关的员工信息,甚至敏感的财务数据。作为这种攻击的结果,他们甚至可以从官方的入站电子邮件中获取信息。总的来说,DNS 劫持可能是对数据和隐私的代价高昂的攻击。
有趣的是,许多公认的 ISP(互联网服务提供商)和政府使用一种 DNS 劫持来接管用户的 DNS 请求。ISP 这样做是为了收集统计数据,并在用户访问未知域空间时投放广告。他们的做法是将您重定向到他们的广告所在的网站,而不是向您显示一条错误消息。政府使用 DNS 劫持进行审查,并将用户安全地重定向到政府授权的网域或页面。
DNS 劫持的原理是什么?
当您在浏览器中输入网站地址时,它会从本地浏览器缓存中收集网页的信息(如果您最近访问过网站),或者将 DNS 查询发送到名称服务器(通常由信誉良好的互联网服务提供商提供)。发送 DNS 请求的浏览器与名称服务器的响应之间的通信点最容易受到攻击,因为它未加密。黑客就在该通信点拦截查询,并将用户重定向到一个恶意网站以进行勒索。目前,网络犯罪分子使用四种不同类型的 DNS 劫持:“本地”、“路由器”、“恶意”和“中间人”。
本地劫持:黑客在您的系统上安装特洛伊木马恶意软件,以攻击本地 DNS 设置。攻击后,他们可以将这些本地设置更改为直接指向他们自己的 DNS 服务器(例如,替代默认服务器)。从此开始,受害者浏览器发出的所有请求都会发送到黑客的服务器,他们可以返回他们所需的任何内容。一般来说,他们还可以将您指向其他恶意 Web 服务器。
路由器劫持:与一些人的认知相反,劫持路由器通常是许多网络犯罪分子的第一个攻击点。这是因为许多路由器有默认密码或存在固件漏洞,可以被黑客轻易找到(许多公司不会花时间对路由器的登录凭据进行个性化设置)。黑客登录后,会修改 DNS 设置并指定首选 DNS 服务器(通常由他们拥有),这样网址到 IP 地址的转换完全由他们控制。从此开始,用户的浏览器请求被转发到恶意网站。这尤其严重,因为受影响的不仅仅是一个用户,而是连接到受感染路由器的所有用户。
恶意劫持:这种类型的网络犯罪比本地劫持复杂得多,因为它无法从目标设备进行控制。相反,黑客会劫持 ISP 的现有名称服务器来更改选定的条目。结果,毫无戒心的受害者看似访问了正确的 DNS 服务器,而该服务器实际上已被黑客渗透。随后,网络犯罪分子更改 DNS 记录,将用户的 DNS 请求重定向到恶意网站。由于 ISP 采用较高的网络安全标准,这种攻击较为罕见且更加难以执行。这种攻击发生时,可能会影响大量用户,因为通过该服务器解析查询的任何人都可能是受害者。
中间人攻击:此类攻击侧重于拦截您与 DNS 之间的通信。由于许多 DNS 请求中缺少加密,黑客使用专业工具中断客户端和服务器之间的通信。发出请求的用户随后被提供一个不同的目标 IP 地址,该地址指向一个恶意网站。这也可以用作对本地设备和 DNS 服务器本身的一种 DNS 缓存中毒攻击。结果与上述类型几乎相同。
如何检测 DNS 劫持
幸运的是,有许多不同且简单的方法可以验证您的 DNS 是否已被黑客入侵。首先,重要的是要知道,如果您经常使用的某些网站的加载速度始终比平时慢,或者您收到更多随机弹出广告(通常告诉您计算机被“感染”),那么您的 DNS 很可能已被黑客入侵。但是,仅凭这些症状还不能确定。以下是您可以对计算机进行的一些实际测试:
执行“ping 命令”测试
ping 命令主要用于查看一个 IP 地址是否实际存在。如果您的浏览器 ping 一个不存在的 IP 地址却仍获得解析,则 DNS 很可能已被黑客入侵。这可以在 Mac 和 Windows 上完成。在 Mac 上,只需:
打开终端并输入以下命令:
Ping kaspersky123456.com
如果显示“无法解析”,则说明您的 DNS 没问题。
如果您使用 Windows 计算机,那么您只需要:
打开命令提示符并输入以下命令:
ping kaspersky123456.com
如果显示“无法解析”,则说明您的 DNS 没问题。
检查您的路由器或使用“路由器检查器”
下一个测试在许多网站上都有提供。数字路由器检查器服务的原理是使用可靠的 DNS 解析器检查您的系统,并查看您是否正在使用授权的 DNS 服务器。或者,您可以访问路由器的在线管理页面并检查其中的 DNS 设置。
使用 WholsMyDNS.com
此在线服务向您显示您正在使用的 DNS 服务器以及拥有这些服务器的公司。一般来说,您的浏览器将使用 ISP 提供的 DNS 服务器的 IP 地址。如果公司名称看起来不熟悉,则您的 DNS 可能已被劫持。
如果您意识到您的 DNS 服务器被黑客入侵,或者以前发生过这种情况,那么我们建议您使用替代的公共 DNS 服务,例如 Google 的公共 DNS 服务器。
如何防止 DNS 劫持?
无论是本地、路由器还是恶意 DNS 劫持,最好从一开始就避免被黑客攻击。幸运的是,您可以采取多种措施来增强您的 DNS 安全性和整体数据安全性。
切勿点击可疑或不熟悉的链接:这包括电子邮件、短信或社交媒体中的链接。请记住,缩短 URL 的工具可能会进一步掩盖危险的链接目的地,因此请尽可能避免使用这些工具。尽管可能很耗时,但您应该始终选择手动在浏览器中输入 URL(但仅在确认其合法之后)。
使用信誉良好的反病毒软件:最好的做法是始终定期扫描计算机是否存在恶意软件并根据提示更新软件。系统的安全软件将帮助您发现并去除 DNS 劫持造成的任何感染,特别是在本地劫持期间被特洛伊木马恶意软件感染的情况下。由于恶意网站可以传播各种类型的恶意软件和广告软件程序,您应该持续扫描病毒、间谍软件和其他隐藏问题。
使用虚拟专用网络 (VPN):VPN 为您的所有网站查询和流量提供加密的数字隧道。大多数知名 VPN 都使用专用 DNS 服务器,这些服务器专门使用端到端加密请求来保护您的本地计算机和它们的 DNS 服务器。结果是,服务器接收的请求无法被中断,从而从根本上降低了中间人 DNS 劫持的可能性。
更改路由器的密码(和用户名):这看起来相对简单且显而易见,但许多用户没有采取这种预防措施。正如我们之前提到的,由于路由器的默认登录详细信息很少被更改,因此非常容易被破解。创建新密码时,我们始终建议使用“强”密码(长度约为 10-12 个字符,包含特殊字符、数字、大写和小写字母的混合)。
注意:如果您发现进入了一个不熟悉的网站,并且该网站提供了您以前从未见过的不同弹出窗口、登陆页面和标签,您应该立即离开该页面。注意数字警告信号是提升网络安全的第一步。
但是,如果您是网站所有者,有几种不同的方法可防止您的 DNS 被劫持。
限制对 DNS 的访问:将 DNS 设置的访问权限限制为专门 IT 团队中的少数成员,从而限制潜在的投机网络犯罪分子利用您的团队成员。此外,确保所选的少数人员在访问 DNS 注册商时使用双因素身份验证。
启用客户端锁定:一些 DNS 注册商支持“客户端锁定”,这可以防止在未经批准的情况下对 DNS 记录进行任何更改。我们建议尽可能启用该功能。
使用支持 DNSSEC 的注册商:域名系统安全扩展是一种“经过验证的真实”标签,有助于保持 DNS 查询的真实性。因此,黑客更难以拦截您的 DNS 发出的请求。
不要让您自己容易受到 DNS 劫持和其他形式的恶意软件攻击。卡巴斯基安全解决方案让您可以在多台设备上保持在线活动的安全性和私密性。立即了解详情吧。
关于 DNS 劫持的常见问题?
什么是 DNS 劫持?
域名系统劫持,也称为 DNS 重定向攻击,是指从受害者浏览器发送的 DNS 查询被拦截和错误解析,将用户重定向到恶意网站。DNS 可以在本地被恶意软件劫持,或通过路由器、拦截或名称服务器被劫持。
DNS 劫持的原理是什么?
DNS 劫持的原理是攻击发送 DNS 请求的浏览器与名称服务器的响应之间的通信点,因为它通常未加密。在拦截过程中,黑客可以将您重定向到他们的一个恶意网站以进行勒索。
如何阻止 DNS 劫持?
有多种方法可以阻止和防止 DNS 劫持。对于个人用户,不应点击可疑链接或访问带有大量弹出窗口的域。他们应该使用好的反病毒软件,更改路由器的用户名和密码,并使用 VPN 访问网络。
相关产品:
相关文章和链接: