聊一聊DNS劫持那些事( 二 ) _DNS

利用分光等设备将DNS查询复制到网络设备，并先于正常应答返回DNS劫持的结果。
案例：一个DNS查询抓包返回两个不同的应答。

文章插图

• DNS请求代答
网络设备或者软件直接代替DNS服务器对DNS查询进行应答。
案例：一些DNS服务器实现了SERVFAIL重写和NXDOMAIN重写的功能。

文章插图
【聊一聊DNS劫持那些事】
【三、篡改DNS权威记录】
篡改DNS权威记录我们这里指的黑客非法入侵DNS权威记录管理账号，直接修改DNS记录的行为。
案例：
黑客黑入域名的管理账户，篡改DNS权威记录指向自己的恶意服务器以实现DNS劫持。

文章插图

黑客黑入域名的上级注册局管理账户，篡改域名的NS授权记录，将域名授权给黑客自己搭建的恶意DNS服务器以实现DNS劫持。

文章插图

黑客黑入域名的上级注册局管理账户，篡改域名的NS授权记录，将域名授权给黑客自己搭建的恶意DNS服务器以实现DNS劫持。（以上参考fireeye博客）
DNS劫持应对策略DNS劫持在互联网中似乎已经变成了家常便饭，那么该如何应对各种层出不穷的DNS劫持呢？如果怀疑自己遇到了DNS劫持，首先要做的事情就是要确认问题。
如何确认DNS劫持
查看路由器DNS配置是否被篡改。
可以使用一些全网拨测的工具确认DNS劫持和其影响范围。在此隆重介绍一下，阿里的DNS域名检测工具于国庆后已经正式上线，地址是：https://zijian.aliyun.com/#/domainDetect

文章插图

通过工具查看回复DNS应答的DNS服务器，确认DNS解析是否被重定向。
• whatismydnsresolver http://whatismydnsresolver.com/
移动端可以安装一些DNS相关的测试工具进行排查：
• Android/ target=_blank class=infotextkey>安卓 ping & dns
• IOS IOS iNetTools
DNS劫持防范
• 安装杀毒软件，防御木马病毒和恶意软件；定期修改路由器管理账号密码和更新固件。
• 选择安全技术实力过硬的域名注册商，并且给自己的域名权威数据上锁，防止域名权威数据被篡改。
• 选择支持DNSSEC的域名解析服务商，并且给自己的域名实施DNSSEC 。DNSSEC能够保证递归DNS服务器和权威DNS服务器之间的通信不被篡改。阿里云DNS作为一家专业的DNS解析服务厂商，一直在不断完善打磨产品功能，DNSSEC功能已经在开发中，不日就会上线发布。
• 在客户端和递归DNS服务器通信的最后一英里使用DNS加密技术，如DNS-over-TLS，DNS-over-HTTPS等。
作者：kimi_nyn