2019年2月20日,DNSPod发布公告称,监测到一起大规模黑客事件,导致被入侵用户访问所有网络服务时DNS解析被盗发往江苏电信或周边线路。为什么会这样?是因为用户使用病毒的DNS解析,病毒的DNS递归到114.114.114.114或其他公网DNS。这时公共DNS就会认为用户来自病毒DNS所在的网段。如果病毒DNS位于电信网络,那么公网DNS会优先输出中国电信的CDN。此时,对于中国联通和中国移动的用户来说,需要跨越运营商的结算边界访问中国电信的CDN服务器。因此,大量用户存在跨网接入,造成运营商之间的跨网接入结算和出口拥堵,导致用户体验极差。紧接着,2019年2月22日,国家互联网应急中心CNCERT发布通报,确认此次黑客危害路由器事件主要是为了劫持用户DNS,导致用户在访问时被劫持到涉黄涉赌网站一些网站。优越的。轰动一时的DNS劫持什么是DNS劫持,恐怕还得从DNS的功能说起。1、DNS功能:DNS的中文全称是域名系统(英文:DomainNameSystem,简称:DNS)是互联网的一项服务。作为一个将域名和IP地址相互映射的分布式数据库,可以让人们更方便地访问互联网。DNS使用TCP和UDP的53号端口,说得通俗点就是,当用户上网的时候,没有人会记住网站服务器的IP地址。一是IP地址太多,二是根本记不住,有的网站服务器要不断更新IP地址。那么,为了方便大家上网,我们会将网站的域名与网站服务器的IP地址关联起来,这就是DNS服务器的作用。用户上网时,只需要输入网址,DNS服务器就会搜索到对应服务器的IP地址,然后上网。说到这里,不禁让我们想起了生活中的电话簿。按名称和DNS查找电话号码具有相同的效果。2、DNS劫持:DNS协议是网络中最重要的服务之一,但在黑产盛行的时代,DNS服务也是黑产最容易利用的工具。在上网的过程中,我们遇到过网页被莫名其妙重定向的情况。打开的目标网站不是原来的内容,而是重定向到了一个未知的页面。即使最终用户输入了正确的URL,也会被重定向到那些恶意网站。一个网站,或者一个可以正常访问的页面,突然打不开了。这就是DNS劫持,也叫域名劫持。这些令人不安的异常现象出现,意味着您可能是DNS劫持和中毒的受害者。DNS劫持(DNSphishinghazards)非常凶猛,不易被用户察觉。它曾导致近1%的BancodoBrasil客户遭到入侵,账户被盗。黑客利用宽带路由器的漏洞篡改用户的DNS——只要用户浏览被黑客控制的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为WEB页面带有特殊的恶意代码,所以他们可以顺利隐藏通过安全软件的检测,导致大量用户被DNS钓鱼诈骗。这次CNCERT400万+用户家用路由器的DNS被劫持,进而造成了非常大的网络安全。黑市操纵的DNS劫持事件的主要目的是将用户的一些正常域名解析到非法网站,并从用户对非法网站的访问和点击中获利。普通DNS访问的网站具体表现为:103.85.84.0/24、103.85.85.0/24、45.113.201.0/24这三个地址段提供的DNS服务,劫持了190多个类域名的解析,最后跳转到网站www.mg437700.vip:8888被劫持到境外非法网站。本次DNS劫持事件涉及面广,影响大。这是一个非常严重的事件。所以,不管这个事件如何,在DNS的历史上,已经发生过很多次大规??模的劫持事件。作为普通用户,我们有哪些方法可以防止DNS劫持呢?首先我们来看下DNS网络拓扑结构:如上图所示,在整个上网过程中,DNS链路无疑是脆弱的,不受用户控制。DNS劫持通常发生在为所有人提供上网服务的网络运营商的公共DNS服务器上,普通用户难以应对,无法有效防范。因此,当目标网站被劫持时,会跳转到其他地址案例。对付运营商的DNS劫持,设置可靠的DNS服务器往往可以解决问题。但是,很多朋友在设置了可靠的DNS服务器后,仍然无法解析到正确的IP地址。比如可以ping通某个网站的IP地址,但是无法访问。这部分网站无法访问的原因是网站域名解析错误,有几种可能:黑客入侵国外根服务器,导致国内服务器域名解析被污染;由于数据传输过程中网络节点众多,节点也可能成为Harm目标;当黑客对单个网站进行危害时,由于节点较多,会造成节点污染,影响整个网络。运营商开始普及IPv6地址,而IPv6地址都是公网IP,没有NAT,更容易被黑市利用。让我们更多地讨论IPv6场景。与以往的IPv4网络不同,IPv6网络将原本受IPv4NAT保护的家庭路由器全部暴露在公网中。存在漏洞的家庭路由器可被直接渗透,造成节点污染,影响全网。这导致网络犯罪分子利用路由器中的高风险漏洞。例如,安全研究人员发现,台湾合勤、德国Speedport等公司的路由器产品都对外开放了7547端口。-064协议的指令利用漏洞,存在漏洞的路由器可能有上百万台之多。我国正在大规模推进IPv6部署,这方面的技术风险需要特别关注。上周末,德国电信向客户提供的路由器遭到破坏,影响了多达900,000名客户,他们需要重新启动路由器才能获得紧急补丁。物联网搜索引擎Shodan报告称,有4100万台设备开放了7547端口,约有500万台设备暴露了TR-064服务。但是TR-064在设置NTP时间服务时存在命令注入漏洞。作案者向7547端口发送特定命令包,执行的命令为“busyboxiptables-IINPUT-ptcp–dport80-jACCEPT”,启用防火墙的80端口允许作案者远程访问网管界面。对于DNS劫持,我们还有其他方法:直接使用服务器IP地址,从根本上遏制DNS劫持;如果服务器IP经常变化,那么我们可以选择手动设置知名DNS服务器114.114.114.114或者8.8.8.8;虽然设置了知名的DNS服务器,但是电脑被黑客控制了,那么我们可以安装杀毒软件来防止危害;安装杀毒软件后,不是被黑客危害,而是被杀毒软件劫持,这时我们选择卸载软件或者重装系统;如果以上都不能解决问题,可以联系专业厂商,比如选择购买Panabit+Panalog服务器进行处理;如何使用Panalog查看1、在DNS统计处查询可以找到被劫持的DNS服务器的IP地址,可以判断在这个网络中可能有被劫持的用户。2、筛选sessionlog直接选择“异常分析”选项直接查找异常用户IP和异常协议名(注意在Panalog上输入IP地址段要使用“x.x.x.x-x.x.x.y”格式)3.Panabit用户检查自己的网络,将被劫持的DNS重定向到正常的DNS服务提供商(DNSPod)。具体操作界面如下:结束,这次DNS劫持事件,希望大家能够引起足够的重视,只要懂得正确使用互联网,了解防范网络安全的方法,真正为一次安全谋划。未雨绸缪,防患于未然,那么DNS劫持就没什么好担心的了。
