2019年2月20日，DNSPod發(fā)布一則通知，稱監(jiān)控到有大規(guī)模的黑產(chǎn)危害事件發(fā)生，導致被危害的用戶在訪問所有網(wǎng)絡服務時DNS解析被調(diào)度到江蘇電信或周邊線路。

為何會出現(xiàn)如此現(xiàn)象?

是因為用戶使用了病毒的DNS進行解析，病毒DNS再遞歸給114.114.114.114或者其他公共DNS。此時，公共DNS會認為用戶就來自病毒DNS所在的網(wǎng)段。

如果病毒DNS所在電信網(wǎng)絡，那么公共DNS就會優(yōu)先輸出電信的CDN，這個時候?qū)β?lián)通和移動的用戶來說，就要跨越運營商的結(jié)算邊界，去訪問電信的CDN服務器，因此出現(xiàn)了大量的用戶出現(xiàn)跨網(wǎng)訪問，造成運營商之間出現(xiàn)跨網(wǎng)訪問結(jié)算和出口擁堵，導致用戶體驗極差。

??

緊接著，2019年2月22日，國家互聯(lián)網(wǎng)應急中心CNCERT發(fā)布通報，證實本次黑客危害路由器事件，主要是針對用戶的DNS進行劫持，導致用戶訪問部分網(wǎng)站時被劫持到涉黃涉賭的網(wǎng)站上。

??

聳人聽聞的DNS劫持

何為DNS劫持，這恐怕還要從DNS的功能說起。

1. DNS功能：

DNS中文全稱為域名系統(tǒng)(英文：DomainNameSystem，縮寫：DNS)是互聯(lián)網(wǎng)的一項服務。它作為將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便地訪問互聯(lián)網(wǎng)。DNS使用TCP和UDP端口53。

說的通俗一些，用戶上網(wǎng)時，沒有人去記憶網(wǎng)站服務器的IP地址，一是IP地址太多，二是根本記不住，而且有些網(wǎng)站服務器還要不斷的更新IP地址。那么為了方便大家上網(wǎng)，我們會把網(wǎng)站的域名和該網(wǎng)站服務器的IP地址做關聯(lián)，這就是DNS服務器的作用。

當用戶上網(wǎng)時，只需要輸入網(wǎng)址，再由DNS服務器進行查找相應服務器的IP地址，進而訪問互聯(lián)網(wǎng)。

說到這，不免讓我們想起生活中的電話簿，通過姓名去查電話號碼與DNS的作用存在異曲同工之妙。

2. DNS劫持：

DNS協(xié)議是網(wǎng)絡中最為重要的服務之一，但在黑產(chǎn)盛行的年代，DNS服務也是最容易被黑產(chǎn)利用的工具。

我們在上網(wǎng)過程中都有遇到過網(wǎng)頁莫名跳轉(zhuǎn)這些情況，打開的目標網(wǎng)站不是原來的內(nèi)容，反而跳轉(zhuǎn)到了未知的頁面，即使終端用戶輸入正確的網(wǎng)址也會被指向跳轉(zhuǎn)至那些惡意網(wǎng)站，或者本來能正常訪問的頁面，突然就打不開了，這就是DNS劫持，亦可稱域名劫持。

出現(xiàn)了這些令人困擾的異常現(xiàn)象，意味著你可能是DNS劫持、投毒的受害者。

DNS劫持(DNS釣魚危害)十分兇猛且不容易被用戶感知，曾導致巴西銀行巴西銀行近1%客戶受到危害而導致賬戶被盜。

黑客利用寬帶路由器的缺陷對用戶DNS進行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁面，其寬帶路由器的DNS就會被黑客篡改，因為該WEB頁面設有特別的惡意代碼，所以可以成功躲過安全軟件檢測，導致大量用戶被DNS釣魚詐騙。

??

本次CNCERT 400萬+用戶的家用路由器的DNS被劫持，進而造成了非常大的網(wǎng)絡安全。

這次黑產(chǎn)操縱的DNS劫持事件主要目的是為了將用戶的一些正常域名解析到非法網(wǎng)站，通過用戶對非法網(wǎng)站的訪問和點擊從中獲利。

正常DNS訪問的網(wǎng)站

具體表現(xiàn)為：103.85.84.0/24、103.85.85.0/24、45.113.201.0/24三個地址段提供的DNS服務，對190余個類域名的解析進行劫持，最終跳轉(zhuǎn)到網(wǎng)站非法網(wǎng)站

被劫持到境外非法網(wǎng)站

本次DNS劫持事件涉及面之廣、影響之大，是十分嚴重的事件。那么，拋開此次事件不提，在DNS的歷史上，出現(xiàn)過多次大規(guī)模的劫持事件，作為普通用戶來講，我們有哪些方法可以針對DNS劫持做一些預防呢?

首先我們先來看下DNS的網(wǎng)絡拓撲：

??

如上圖所示，在整個上網(wǎng)的流程中，DNS這環(huán)節(jié)無疑是脆弱而且不受用戶控制的。DNS劫持由于通常發(fā)生在為大家提供上網(wǎng)的網(wǎng)絡運營商的公共DNS服務器，因此普通用戶很難進行處理也無法進行有效預防，因此就造成當訪問的目標網(wǎng)站被劫持的時候會跳轉(zhuǎn)到其他地址的情況。

要對付運營商的DNS劫持，設置一個可靠的DNS服務器往往就可以解決問題。然而，很多朋友在設置了可靠的DNS服務器后，仍然不能解析到正確的IP地址，例如某個網(wǎng)站的IP地址明明是可以Ping通的，但就是無法訪問。

這部分網(wǎng)站無法訪問的原因是網(wǎng)站域名解析錯誤，而這就存在這幾種可能：

• 黑客危害國外根服務器造成國內(nèi)服務器域名解析遭到污染;
• 由于數(shù)據(jù)傳輸過程中網(wǎng)絡節(jié)點較多，節(jié)點也可能成為危害目標;
• 黑客在危害單個網(wǎng)站的時候，因為節(jié)點較多，導致節(jié)點污染從而影響了全網(wǎng)。
• 運營商開始普及IPv6地址，而IPv6的地址都是公網(wǎng)IP，無需NAT，所以更容易被黑產(chǎn)利用。

針對IPv6場景多說一點，區(qū)別以前IPv4的網(wǎng)絡，IPv6網(wǎng)絡讓所有本來受IPv4的NAT保護的家用路由器暴露在公網(wǎng)上，存在漏洞的家用路由器可以直接被滲透，導致節(jié)點污染從而影響了全網(wǎng)。

這就導致了網(wǎng)絡罪犯可以利用路由器的高危漏洞，比如安全研究人員發(fā)現(xiàn)的臺灣合勤科技、德國Speedport等公司的路由器產(chǎn)品存在7547端口對外開放的現(xiàn)象，危害者可以通過發(fā)送基于TR-069和 TR-064協(xié)議的指令利用漏洞，存在漏洞的路由器可能多達數(shù)百萬部。

我國正在大規(guī)模推進大網(wǎng)IPv6部署，這方面的技術風險需要格外關注。

德國電信向客戶提供的路由器上周末就遭到了危害，多達90萬客戶受到影響，他們需要重啟路由器接收緊急補丁。

物聯(lián)網(wǎng)搜索引擎Shodan報告有4100萬設備開放了7547端口，有大約500萬設備暴露了TR-064服務。

而TR-064在設置NTP時間服務時存在命令注入漏洞，危害者通過對7547端口發(fā)送特定命令的數(shù)據(jù)包，執(zhí)行的命令為“busybox iptables -I INPUT -p tcp –dport 80 -j ACCEPT”，開啟防火墻80端口，使危害者遠程訪問網(wǎng)絡管理界面。

針對DNS劫持，我們還有其他方法：

• 直接使用服務器IP地址，從根本上遏制了DNS劫持;
• 如果服務器IP總是變化，那么我們可以選擇手工設置114.114.114.114或8.8.8.8知名的DNS服務器;
• 雖然設置了知名的DNS服務器，但是被黑客控制了電腦，那么我們可以安裝殺毒軟件防危害;
• 安裝殺毒軟件后，沒有被黑客危害，反而被殺毒軟件劫持了，那么我們選擇卸載軟件或重裝系統(tǒng);
• 以上均解決不了問題的話，可以聯(lián)系專業(yè)廠商，如選擇購買Panabit+Panalog服務器進行處理;

如何使用Panalog進行檢查

1. 在DNS統(tǒng)計處進行查詢

??

可以發(fā)現(xiàn)出現(xiàn)被劫持DNS服務器的IP地址，可以判斷在該網(wǎng)絡中可能存在被劫持的用戶。

2. 會話日志處進行篩查

直接選擇“異常分析”選項，直接找到異常的用戶IP和異常的協(xié)議名稱 (注意在Panalog上輸入IP地址段時要采用“x.x.x.x-x.x.x.y”的格式)

3. Panabit用戶對自己網(wǎng)絡進行核查

對劫持的DNS重新指到正常DNS服務商(DNSPod)。

具體操作界面如下:

??

end，此次DNS劫持事件，希望能夠引起大家的足夠重視，只要我們懂得如何正確的使用互聯(lián)網(wǎng)，了解掌握預防網(wǎng)絡安全的方法，真正做到未雨綢繆，防患于未然，那么DNS劫持又有什么可擔心的呢。