我們可能經(jīng)常遇到DNS連接錯誤，但由幕后攻擊而導(dǎo)致發(fā)生DNS錯誤的次數(shù)卻逐漸增長。在此次的討論中，你會發(fā)現(xiàn)對DNS服務(wù)某些常見問題的討論變成了對惡意軟件攻擊的研究。

ITKE的會員kfettig貼出了下面的問題：

我所在辦公室的兩名網(wǎng)絡(luò)使用者突然不能登錄他們過去經(jīng)常登錄的一些網(wǎng)絡(luò)站點了。我可以用辦公室的其他機器成功登錄到這些站點，而這兩名網(wǎng)絡(luò)使用者在試圖登錄網(wǎng)站時總是收到“該頁無法顯示”的消息；在該錯誤頁面的最下方，顯示的錯誤原因是：“DNS錯誤或者服務(wù)器未找到”。

他們可以成功登錄到其他網(wǎng)絡(luò)站點上，這并不是網(wǎng)站出了問題，因為我在其他機器上也可以成功登錄這些站點…我試著修改了瀏覽器的安全設(shè)置，但這并沒有太大的效果。我們未對機器和網(wǎng)絡(luò)做任何修改：我們沒有安裝新的硬件和軟件。同時這兩臺電腦上也沒有感染任何病毒。如果你們能解決這個問題的話，請聯(lián)系我！

ITKE的會員ghigbee回復(fù)道：

一個快速測試這臺問題機器是否存儲了錯誤DNS項的方法是，在一臺正常工作的機器上ping該網(wǎng)站，并比較該解析地址與出錯機器上的解析地址是否相同。如果兩個地址不匹配，輸入ipconfig/flushdns[一個重新設(shè)置DNS解析服務(wù)器緩存的命令]，然后重新嘗試登錄出錯網(wǎng)站，觀察問題是否得到了解決。

你也可以檢查它們的本地文件，[一種表明本地主機名稱與IP地址映射關(guān)系的文件]，查看里面是否寫入了一些違規(guī)內(nèi)容，很多病毒會將一些DNS項信息寫入到你的本地文件中去。

ITKE的會員astronomer 回復(fù)說：

 [Ghigbee]所提出的檢測本地文件的主意非常棒，但我建議你（在運行良好和運行出錯的兩臺機器上）使用nslookup[一個用來尋找本地匹配IP地址的程序]。它們都在同一DNS服務(wù)器上得到響應(yīng)信息了么？如果機器運行狀況相同的話，它們得到的回復(fù)信息應(yīng)該也是相同的。如果它們運行狀況相同，卻依然得到不同的響應(yīng)結(jié)果，那么我會懷疑問題是由因DNS重定向或是類似的惡意軟件導(dǎo)致的。

kfettig回復(fù)道：

謝謝你，astronomer。我從沒想過比較兩者的DNS服務(wù)器，但可以確定的是（經(jīng)我測試后）那些工作出錯的機器指向了其他DNS服務(wù)器。我敢確定沒有人修改過這些參數(shù)，難道是惡意軟件搞得鬼嗎？再次對你的回復(fù)表示感謝…

astronomer回復(fù)道：

惡意軟件肯定可以做到這一點。你可能會對當(dāng)前Java腳本的強大功能感到震驚。我曾看過一個演示：測試者上傳一個腳本到IIS服務(wù)器，然后用其他客戶端將該腳本下載下來，（僅僅是點了連接），結(jié)果該客戶端便遭到了破壞。他由此安裝了一個鍵盤記錄器，并用來查看該客戶過去經(jīng)常訪問的網(wǎng)站。后來，在他的黑客服務(wù)器上找到了一個用來登錄某商業(yè)網(wǎng)站的用戶名和密碼。隨后，他瀏覽了當(dāng)?shù)氐木W(wǎng)絡(luò)并發(fā)現(xiàn)了一個DSL撥號器，于是他嘗試使用生產(chǎn)商的默認(rèn)管理員賬號和密碼打開了它。毫無疑問，這將是下一個更具攻擊危險性的領(lǐng)域。

【編輯推薦】

1. DNS故障追蹤：兩隊私服黑客互掐引發(fā)蝴蝶效應(yīng)
2. 建立安全的DNS服務(wù)器