域名|什么是DNS劫持？如何进行有效应对？域名

【域名|什么是DNS劫持？如何进行有效应对？】今年6月份，美国政府以“违反制裁”为由关闭了伊朗30多个新闻媒体网站，将目标网站解析转移到了美国控制的IP上。此次事件中，美国“制裁”伊朗网站所采用的技术手段正是DNS劫持。这次攻击对伊朗众多用户正常访问和使用网站造成了严重影响，并对伊朗政府对外形象以及伊朗的网络安全防护能力造成了严重危害，由此可见DNS劫持的巨大威胁。

什么是DNS劫持？DNS劫持又称域名劫持，是攻击者利用缺陷对用户的DNS进行篡改，将域名由正常IP指向攻击者控制的IP ，从而导致访客被劫持到一个不可达或者假冒的网站，以此达到非法窃取用户信息或者破坏正常网络服务的目的。
DNS劫持可用于DNS域欺骗（攻击者通常目的是为了显示不需要的广告以产生收入）或用于网络钓鱼（为了让用户访问虚网站并窃取用户的数据和凭据）。互联网服务提供商（ISP）也可能通过DNS劫持，以接管用户的DNS请求，收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。
DNS劫持的危害对用户：DNS劫持严重影响用户的上网体验，用户被劫持到假冒网站进而无法正常访问目标网站，同时用户还有可能被诱骗到一些违法诈骗网站进一步导致信息的泄露甚至是对用户的财产和人身安全造成严重威胁。
对域名持有者：对域名持有者而言，遭遇DNS劫持也是件非常严重的问题。它会导致持有者失去对域名的控制，站点无法被用户访问，使域名积累的流量被引导至恶意IP上，给域名持有者造成严重的经济损失，甚至可能由于恶意IP的违法经营，为域名持有者带来不必要的法律风险。
DNS劫持的攻击方式
DNS缓存感染
攻击者使用DNS请求，将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在用户进行DNS访问时返回给用户，从而将用户对正常域名的访问引导到入侵者所设置木马、钓鱼等页面上。
DNS信息劫持
入侵者通过监听客户端和DNS服务器的对话，可以猜测服务器响应给客户端的DNS查询ID 。每个DNS报文包括一个相关联的16位ID号， DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，就可以欺骗客户端去访问恶意的网站。
DNS重定向
攻击者如果将权威DNS服务器重定向到恶意DNS服务器，那么被劫持域名的解析就完全置于攻击者的控制之下。
ARP欺骗
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
本机劫持
在计算机系统被木马或流氓软件感染后可能会出现部分域名的访问异常，如访问钓鱼站点、无法访问等情况，本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式，虽然并非都通过DNS环节完成，但都会造成无法按照用户意愿获得正确的地址或者内容的后果。
DNS劫持的应对方式1.定期的检查域名的账户信息及解析状态是否存在异常，并对域名对应站点内容进行定期排查，检查是否出现非本人或本公司设置的页面。
2.定期修改域名管理系统平台账号密码，使用较为复杂的密码组合，并采用与其他平台不同的密码，避免攻击者通过遍历手段获取账号密码，从而进行解析修改操作。