从安全角度分析-应用层协议-DNS详解（三）

原创已于 2025-07-21 19:50:30 修改 · 1k 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络 #服务器

于 2025-07-21 19:29:54 首次发布

TOP10 专栏收录该内容

7 篇文章

订阅专栏

# DNS的安全风险隐患

DNS劫持
DNS欺骗
DNS隐蔽通信（DNS隧道）

DNS劫持

域名系统劫持，也称为 DNS 重定向攻击，是指从受害者浏览器发送的 DNS 查询被错误解析，将用户重定向到恶意网站。

一些 DNS 欺骗攻击，如 DNS 缓存中毒（您的系统在本地内存缓存中记录欺诈性 IP 地址）侧重于修改 DNS 记录，而 DNS 劫持涉及更改 DNS 设置本身，通常是通过在受害者的计算机上安装恶意软件来实现。

这使得黑客可以接管您的路由器、拦截 DNS 信号或简单地入侵 DNS 通信。DNS 劫持通常是一种对更广泛的域名系统更具破坏性的攻击。

# 危害

对于单个用户，它允许劫持者实施网络钓鱼欺诈（向受害者显示合法网站的虚假版本，窃取用户数据，例如密码、登录凭据和信用卡信息）。
对于面向消费者的网页（例如属于某个企业的网页），它允许网络犯罪分子将您公司的网站访问者重定向到他们创建的欺诈页面。

一旦您的用户进入由黑客构建的网页，这些网页就会再次被用来窃取登录凭据和机密个人数据。

这可能包括与您的企业内部运作相关的员工信息，甚至敏感的财务数据。

作为这种攻击的结果，他们甚至可以从官方的入站电子邮件中获取信息。

总的来说，DNS 劫持可能是对数据和隐私的代价高昂的攻击。

# DNS 劫持进行审查

有趣的是，许多公认的 ISP（互联网服务提供商）和政府使用一种 DNS 劫持来接管用户的 DNS 请求。ISP 这样做是为了收集统计数据，并在用户访问未知域空间时投放广告。

他们的做法是将您重定向到他们的广告所在的网站，而不是向您显示一条错误消息。

政府使用 DNS 劫持进行审查，并将用户安全地重定向到政府授权的网域或页面。

# DNS 劫持的原理

当您在浏览器中输入网站地址时，它会从本地浏览器缓存中收集网页的信息（如果您最近访问过网站），或者将 DNS 查询发送到名称服务器（通常由信誉良好的互联网服务提供商提供）。

发送 DNS 请求的浏览器与名称服务器的响应之间的通信点最容易受到攻击，因为它未加密。

黑客就在该通信点拦截查询，并将用户重定向到一个恶意网站以进行勒索。目前，网络犯罪分子使用四种不同类型的 DNS 劫持：“本地”、“路由器”、“恶意”和“中间人”。

本地劫持：黑客在您的系统上安装特洛伊木马恶意软件，以攻击本地 DNS 设置。攻击后，他们可以将这些本地设置更改为直接指向他们自己的 DNS 服务器（例如，替代默认服务器）。从此开始，受害者浏览器发出的所有请求都会发送到黑客的服务器，他们可以返回他们所需的任何内容。一般来说，他们还可以将您指向其他恶意 Web 服务器。

路由器劫持：与一些人的认知相反，劫持路由器通常是许多网络犯罪分子的第一个攻击点。这是因为许多路由器有默认密码或存在固件漏洞，可以被黑客轻易找到（许多公司不会花时间对路由器的登录凭据进行个性化设置）。黑客登录后，会修改 DNS 设置并指定首选 DNS 服务器（通常由他们拥有），这样网址到 IP 地址的转换完全由他们控制。从此开始，用户的浏览器请求被转发到恶意网站。这尤其严重，因为受影响的不仅仅是一个用户，而是连接到受感染路由器的所有用户。

恶意劫持：这种类型的网络犯罪比本地劫持复杂得多，因为它无法从目标设备进行控制。相反，黑客会劫持 ISP 的现有名称服务器来更改选定的条目。结果，毫无戒心的受害者看似访问了正确的 DNS 服务器，而该服务器实际上已被黑客渗透。随后，网络犯罪分子更改 DNS 记录，将用户的 DNS 请求重定向到恶意网站。由于 ISP 采用较高的网络安全标准，这种攻击较为罕见且更加难以执行。这种攻击发生时，可能会影响大量用户，因为通过该服务器解析查询的任何人都可能是受害者。

中间人攻击：此类攻击侧重于拦截您与 DNS 之间的通信。由于许多 DNS 请求中缺少加密，黑客使用专业工具中断客户端和服务器之间的通信。发出请求的用户随后被提供一个不同的目标 IP 地址，该地址指向一个恶意网站。这也可以用作对本地设备和 DNS 服务器本身的一种 DNS 缓存中毒攻击。结果与上述类型几乎相同。

# 如何检测 DNS 劫持

有许多不同且简单的方法可以验证您的 DNS 是否已被黑客入侵。

首先，重要的是要知道，如果您经常使用的某些网站的加载速度始终比平时慢，或者您收到更多随机弹出广告（通常告诉您计算机被“感染”），那么您的 DNS 很可能已被黑客入侵。但是是，仅凭这些症状还不能确定。以下是您可以对计算机进行的一些实际测试：

执行“ping 命令”测试

ping 命令主要用于查看一个 IP 地址是否实际存在。如果您的浏览器 ping 一个不存在的 IP 地址却仍获得解析，则 DNS 很可能已被黑客入侵。这可以在 Mac 和 Windows 上完成。在 Mac 上，只需：

打开终端并输入以下命令：

Ping kaspersky123456.com

如果显示“无法解析”，则说明您的 DNS 没问题

检查您的路由器或使用“路由器检查器”

下一个测试在许多网站上都有提供。数字路由器检查器服务的原理是使用可靠的 DNS 解析器检查您的系统，并查看您是否正在使用授权的 DNS 服务器。或者，您可以访问路由器的在线管理页面并检查其中的 DNS 设置。

使用 WholsMyDNS.com

此在线服务向您显示您正在使用的 DNS 服务器以及拥有这些服务器的公司。一般来说，您的浏览器将使用 ISP 提供的 DNS 服务器的 IP 地址。如果公司名称看起来不熟悉，则您的 DNS 可能已被劫持。

如果您意识到您的 DNS 服务器被黑客入侵，或者以前发生过这种情况，那么我们建议您使用替代的公共 DNS 服务，例如 Google 的公共 DNS 服务器。

# 如何防止 DNS 劫持？

无论是本地、路由器还是恶意 DNS 劫持，最好从一开始就避免被黑客攻击。幸运的是，您可以采取多种措施来增强您的 DNS 安全性和整体数据安全性。

切勿点击可疑或不熟悉的链接：这包括电子邮件、短信或社交媒体中的链接。请记住，缩短 URL 的工具可能会进一步掩盖危险的链接目的地，因此请尽可能避免使用这些工具。尽管可能很耗时，但您应该始终选择手动在浏览器中输入 URL（但仅在确认其合法之后）。

使用信誉良好的反病毒软件：最好的做法是始终定期扫描计算机是否存在恶意软件并根据提示更新软件。系统的安全软件将帮助您发现并去除 DNS 劫持造成的任何感染，特别是在本地劫持期间被特洛伊木马恶意软件感染的情况下。由于恶意网站可以传播各种类型的恶意软件和广告软件程序，您应该持续扫描病毒、间谍软件和其他隐藏问题。

使用虚拟专用网络 (VPN)：VPN 为您的所有网站查询和流量提供加密的数字隧道。大多数知名 VPN 都使用专用 DNS 服务器，这些服务器专门使用端到端加密请求来保护您的本地计算机和它们的 DNS 服务器。结果是，服务器接收的请求无法被中断，从而从根本上降低了中间人 DNS 劫持的可能性。

更改路由器的密码（和用户名）：这看起来相对简单且显而易见，但许多用户没有采取这种预防措施。正如我们之前提到的，由于路由器的默认登录详细信息很少被更改，因此非常容易被破解。创建新密码时，我们始终建议使用“强”密码（长度约为 10-12 个字符，包含特殊字符、数字、大写和小写字母的混合）。

注意：如果您发现进入了一个不熟悉的网站，并且该网站提供了您以前从未见过的不同弹出窗口、登陆页面和标签，您应该立即离开该页面。注意数字警告信号是提升网络安全的第一步。

但是，如果您是网站所有者，有几种不同的方法可防止您的 DNS 被劫持。

限制对 DNS 的访问：将 DNS 设置的访问权限限制为专门 IT 团队中的少数成员，从而限制潜在的投机网络犯罪分子利用您的团队成员。此外，确保所选的少数人员在访问 DNS 注册商时使用双因素身份验证。

启用客户端锁定：一些 DNS 注册商支持“客户端锁定”，这可以防止在未经批准的情况下对 DNS 记录进行任何更改。我们建议尽可能启用该功能。

使用支持 DNSSEC 的注册商：域名系统安全扩展是一种“经过验证的真实”标签，有助于保持 DNS 查询的真实性。因此，黑客更难以拦截您的 DNS 发出的请求。

不要让您自己容易受到 DNS 劫持和其他形式的恶意软件攻击。

什么是 DNS 劫持？

域名系统劫持，也称为 DNS 重定向攻击，是指从受害者浏览器发送的 DNS 查询被拦截和错误解析，将用户重定向到恶意网站。DNS 可以在本地被恶意软件劫持，或通过路由器、拦截或名称服务器被劫持。

DNS 劫持的原理是什么？

DNS 劫持的原理是攻击发送 DNS 请求的浏览器与名称服务器的响应之间的通信点，因为它通常未加密。在拦截过程中，黑客可以将您重定向到他们的一个恶意网站以进行勒索。

如何阻止 DNS 劫持？

有多种方法可以阻止和防止 DNS 劫持。对于个人用户，不应点击可疑链接或访问带有大量弹出窗口的域。他们应该使用好的反病毒软件，更改路由器的用户名和密码，并使用 VPN 访问网络。

DNS欺骗 --钓鱼

DNS缓存中毒（DNS欺骗）一种网络攻击。遭受此类攻击时，尝试访问合法网站的用户会被重定向到其它恶意网站。

当用户在网络浏览器中输入某个网站的名称时，DNS 解析器会提供相应的 IP 地址，使用户能够加载正确的网站。

通过篡改或替换 DNS 解析器的缓存存储器中存储的数据，攻击者可以向用户发送假冒或恶意网站，以窃取他们的凭据或个人数据。

DNS缓存中毒是如何运作的？

在 DNS 缓存中毒攻击中，攻击者会使用各种技术将 DNS 缓存内的合法地址替换为虚假的 DNS 地址。当用户尝试访问合法网站时，DNS 解析器会返回其缓存中的虚假地址，而该地址会劫持浏览器会话并将用户引导至某个假冒网站或恶意网站。

# 攻击者如何使 DNS 缓存中毒？

攻击者可能会直接劫持 DNS 服务器，将合法网站的流量重定向到恶意 IP 地址。

在用户点击恶意链接后，黑客也可能会在浏览器中使用恶意软件来篡改 DNS 缓存。

或者，攻击者可能会使用“中间机器攻击”将自己置于浏览器与 DNS 服务器之间，以便将请求路由到恶意 IP 地址。

# 攻击者如何通过 DNS 缓存中毒获益？

攻击者会使用缓存中毒来进行网络钓鱼活动，以及设置看起来与用户尝试访问的网站完全相同的假冒网站。

当用户在该网站上输入登录凭据或敏感信息后，攻击者便会使用这些数据访问该用户的帐户并窃取钱财或数据，或者发起更大规模的攻击。

# 缓存中毒攻击为什么会奏效

由于 DNS 旨在准确地返回查询结果，而不是质疑查询的动机，因此从根本上说 DNS 是不安全的协议。

此外，DNS 流量通常可以穿过防火墙而不会受到检查，这使其成为了对黑客极具吸引力的攻击媒介。

# 缓存中毒与 DNS 欺骗有何不同？

虽然术语 DNS 缓存中毒和 DNS 欺骗通常可以互换使用，但一些人表示，中毒是攻击方法，而欺骗是最终结果。换言之，攻击者使用 DNS 缓存中毒来实现 DNS 欺骗。

# 如何检测 DNS 缓存中毒？

DNS 缓存中毒攻击的迹象为：

Web 流量的单一意外下降，或者某个域上的 DNS 活动发生较大变化。

很难手动检测出 DNS 缓存中毒，部署自动 DNS 安全工具是检测这些攻击的最有效方法。

# 如何防范 DNS 缓存中毒？

各企业可以通过遵循以下多项网络安全--最佳实践来防范 DNS 中毒。

采用 DNSSEC。域名系统安全扩展 (DNSSEC) 提供了一种验证 DNS 数据完整性的方法。DNSSEC 使用公钥加密技术对数据进行验证和身份验证。
定期更新和修补 DNS 软件。以理想的节奏更新和修补 DNS 应用程序可降低攻击者利用已知漏洞或零日漏洞的可能性。
对 DNS 流量采用 HTTPS。DNS over HTTPS (DoH) 通过 HTTPS 加密会话来传递查询，以此对 DNS 流量进行加密，从而提高隐私性并隐藏 DNS 查询。
配置 DNS 服务器时使用 Zero Trust 方法。Zero Trust 原则要求将所有用户、设备、应用程序和请求视为已遭到入侵，除非它们经过了身份验证并持续进行验证。DNS 是重要的 Zero Trust 控制点，可以在其中对每个互联网地址进行扫描，以确定是否存在潜在的恶意行为。
选择速度快且能抵御 DoS 的 DNS 解析器。缓存中毒攻击依赖于延迟的 DNS 服务器响应，因此速度快的解析器有助于阻止攻击者成功实施攻击。DNS 解析器还必须拥有内置的缓存中毒控制措施。主要的 ISP 和 DNS 提供商拥有吸收 DDoS 攻击的规模。