2019年2月20日，DNSPod發(fā)布一則通知，稱(chēng)監(jiān)控到有大規(guī)模的黑產(chǎn)危害事件發(fā)生，導(dǎo)致被危害的用戶(hù)在訪(fǎng)問(wèn)所有網(wǎng)絡(luò)服務(wù)時(shí)DNS解析被調(diào)度到江蘇電信或周邊線(xiàn)路。

為何會(huì)出現(xiàn)如此現(xiàn)象?

是因?yàn)橛脩?hù)使用了病毒的DNS進(jìn)行解析，病毒DNS再遞歸給114.114.114.114或者其他公共DNS。此時(shí)，公共DNS會(huì)認(rèn)為用戶(hù)就來(lái)自病毒DNS所在的網(wǎng)段。

如果病毒DNS所在電信網(wǎng)絡(luò)，那么公共DNS就會(huì)優(yōu)先輸出電信的CDN，這個(gè)時(shí)候?qū)β?lián)通和移動(dòng)的用戶(hù)來(lái)說(shuō)，就要跨越運(yùn)營(yíng)商的結(jié)算邊界，去訪(fǎng)問(wèn)電信的CDN服務(wù)器，因此出現(xiàn)了大量的用戶(hù)出現(xiàn)跨網(wǎng)訪(fǎng)問(wèn)，造成運(yùn)營(yíng)商之間出現(xiàn)跨網(wǎng)訪(fǎng)問(wèn)結(jié)算和出口擁堵，導(dǎo)致用戶(hù)體驗(yàn)極差。

??

緊接著，2019年2月22日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布通報(bào)，證實(shí)本次黑客危害路由器事件，主要是針對(duì)用戶(hù)的DNS進(jìn)行劫持，導(dǎo)致用戶(hù)訪(fǎng)問(wèn)部分網(wǎng)站時(shí)被劫持到涉黃涉賭的網(wǎng)站上。

??

聳人聽(tīng)聞的DNS劫持

何為DNS劫持，這恐怕還要從DNS的功能說(shuō)起。

1. DNS功能：

DNS中文全稱(chēng)為域名系統(tǒng)(英文：DomainNameSystem，縮寫(xiě)：DNS)是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便地訪(fǎng)問(wèn)互聯(lián)網(wǎng)。DNS使用TCP和UDP端口53。

說(shuō)的通俗一些，用戶(hù)上網(wǎng)時(shí)，沒(méi)有人去記憶網(wǎng)站服務(wù)器的IP地址，一是IP地址太多，二是根本記不住，而且有些網(wǎng)站服務(wù)器還要不斷的更新IP地址。那么為了方便大家上網(wǎng)，我們會(huì)把網(wǎng)站的域名和該網(wǎng)站服務(wù)器的IP地址做關(guān)聯(lián)，這就是DNS服務(wù)器的作用。

當(dāng)用戶(hù)上網(wǎng)時(shí)，只需要輸入網(wǎng)址，再由DNS服務(wù)器進(jìn)行查找相應(yīng)服務(wù)器的IP地址，進(jìn)而訪(fǎng)問(wèn)互聯(lián)網(wǎng)。

說(shuō)到這，不免讓我們想起生活中的電話(huà)簿，通過(guò)姓名去查電話(huà)號(hào)碼與DNS的作用存在異曲同工之妙。

2. DNS劫持：

DNS協(xié)議是網(wǎng)絡(luò)中最為重要的服務(wù)之一，但在黑產(chǎn)盛行的年代，DNS服務(wù)也是最容易被黑產(chǎn)利用的工具。

我們?cè)谏暇W(wǎng)過(guò)程中都有遇到過(guò)網(wǎng)頁(yè)莫名跳轉(zhuǎn)這些情況，打開(kāi)的目標(biāo)網(wǎng)站不是原來(lái)的內(nèi)容，反而跳轉(zhuǎn)到了未知的頁(yè)面，即使終端用戶(hù)輸入正確的網(wǎng)址也會(huì)被指向跳轉(zhuǎn)至那些惡意網(wǎng)站，或者本來(lái)能正常訪(fǎng)問(wèn)的頁(yè)面，突然就打不開(kāi)了，這就是DNS劫持，亦可稱(chēng)域名劫持。

出現(xiàn)了這些令人困擾的異常現(xiàn)象，意味著你可能是DNS劫持、投毒的受害者。

DNS劫持(DNS釣魚(yú)危害)十分兇猛且不容易被用戶(hù)感知，曾導(dǎo)致巴西銀行巴西銀行近1%客戶(hù)受到危害而導(dǎo)致賬戶(hù)被盜。

黑客利用寬帶路由器的缺陷對(duì)用戶(hù)DNS進(jìn)行篡改——用戶(hù)只要瀏覽一下黑客所掌控的WEB頁(yè)面，其寬帶路由器的DNS就會(huì)被黑客篡改，因?yàn)樵揥EB頁(yè)面設(shè)有特別的惡意代碼，所以可以成功躲過(guò)安全軟件檢測(cè)，導(dǎo)致大量用戶(hù)被DNS釣魚(yú)詐騙。

??

本次CNCERT 400萬(wàn)+用戶(hù)的家用路由器的DNS被劫持，進(jìn)而造成了非常大的網(wǎng)絡(luò)安全。

這次黑產(chǎn)操縱的DNS劫持事件主要目的是為了將用戶(hù)的一些正常域名解析到非法網(wǎng)站，通過(guò)用戶(hù)對(duì)非法網(wǎng)站的訪(fǎng)問(wèn)和點(diǎn)擊從中獲利。

正常DNS訪(fǎng)問(wèn)的網(wǎng)站

具體表現(xiàn)為：103.85.84.0/24、103.85.85.0/24、45.113.201.0/24三個(gè)地址段提供的DNS服務(wù)，對(duì)190余個(gè)類(lèi)域名的解析進(jìn)行劫持，最終跳轉(zhuǎn)到網(wǎng)站非法網(wǎng)站

被劫持到境外非法網(wǎng)站

本次DNS劫持事件涉及面之廣、影響之大，是十分嚴(yán)重的事件。那么，拋開(kāi)此次事件不提，在DNS的歷史上，出現(xiàn)過(guò)多次大規(guī)模的劫持事件，作為普通用戶(hù)來(lái)講，我們有哪些方法可以針對(duì)DNS劫持做一些預(yù)防呢?

首先我們先來(lái)看下DNS的網(wǎng)絡(luò)拓?fù)洌?/p>

??

如上圖所示，在整個(gè)上網(wǎng)的流程中，DNS這環(huán)節(jié)無(wú)疑是脆弱而且不受用戶(hù)控制的。DNS劫持由于通常發(fā)生在為大家提供上網(wǎng)的網(wǎng)絡(luò)運(yùn)營(yíng)商的公共DNS服務(wù)器，因此普通用戶(hù)很難進(jìn)行處理也無(wú)法進(jìn)行有效預(yù)防，因此就造成當(dāng)訪(fǎng)問(wèn)的目標(biāo)網(wǎng)站被劫持的時(shí)候會(huì)跳轉(zhuǎn)到其他地址的情況。

要對(duì)付運(yùn)營(yíng)商的DNS劫持，設(shè)置一個(gè)可靠的DNS服務(wù)器往往就可以解決問(wèn)題。然而，很多朋友在設(shè)置了可靠的DNS服務(wù)器后，仍然不能解析到正確的IP地址，例如某個(gè)網(wǎng)站的IP地址明明是可以Ping通的，但就是無(wú)法訪(fǎng)問(wèn)。

這部分網(wǎng)站無(wú)法訪(fǎng)問(wèn)的原因是網(wǎng)站域名解析錯(cuò)誤，而這就存在這幾種可能：

• 黑客危害國(guó)外根服務(wù)器造成國(guó)內(nèi)服務(wù)器域名解析遭到污染;
• 由于數(shù)據(jù)傳輸過(guò)程中網(wǎng)絡(luò)節(jié)點(diǎn)較多，節(jié)點(diǎn)也可能成為危害目標(biāo);
• 黑客在危害單個(gè)網(wǎng)站的時(shí)候，因?yàn)楣?jié)點(diǎn)較多，導(dǎo)致節(jié)點(diǎn)污染從而影響了全網(wǎng)。
• 運(yùn)營(yíng)商開(kāi)始普及IPv6地址，而IPv6的地址都是公網(wǎng)IP，無(wú)需NAT，所以更容易被黑產(chǎn)利用。

針對(duì)IPv6場(chǎng)景多說(shuō)一點(diǎn)，區(qū)別以前IPv4的網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)讓所有本來(lái)受IPv4的NAT保護(hù)的家用路由器暴露在公網(wǎng)上，存在漏洞的家用路由器可以直接被滲透，導(dǎo)致節(jié)點(diǎn)污染從而影響了全網(wǎng)。

這就導(dǎo)致了網(wǎng)絡(luò)罪犯可以利用路由器的高危漏洞，比如安全研究人員發(fā)現(xiàn)的臺(tái)灣合勤科技、德國(guó)Speedport等公司的路由器產(chǎn)品存在7547端口對(duì)外開(kāi)放的現(xiàn)象，危害者可以通過(guò)發(fā)送基于TR-069和 TR-064協(xié)議的指令利用漏洞，存在漏洞的路由器可能多達(dá)數(shù)百萬(wàn)部。

我國(guó)正在大規(guī)模推進(jìn)大網(wǎng)IPv6部署，這方面的技術(shù)風(fēng)險(xiǎn)需要格外關(guān)注。

德國(guó)電信向客戶(hù)提供的路由器上周末就遭到了危害，多達(dá)90萬(wàn)客戶(hù)受到影響，他們需要重啟路由器接收緊急補(bǔ)丁。

物聯(lián)網(wǎng)搜索引擎Shodan報(bào)告有4100萬(wàn)設(shè)備開(kāi)放了7547端口，有大約500萬(wàn)設(shè)備暴露了TR-064服務(wù)。

而TR-064在設(shè)置NTP時(shí)間服務(wù)時(shí)存在命令注入漏洞，危害者通過(guò)對(duì)7547端口發(fā)送特定命令的數(shù)據(jù)包，執(zhí)行的命令為“busybox iptables -I INPUT -p tcp –dport 80 -j ACCEPT”，開(kāi)啟防火墻80端口，使危害者遠(yuǎn)程訪(fǎng)問(wèn)網(wǎng)絡(luò)管理界面。

針對(duì)DNS劫持，我們還有其他方法：

• 直接使用服務(wù)器IP地址，從根本上遏制了DNS劫持;
• 如果服務(wù)器IP總是變化，那么我們可以選擇手工設(shè)置114.114.114.114或8.8.8.8知名的DNS服務(wù)器;
• 雖然設(shè)置了知名的DNS服務(wù)器，但是被黑客控制了電腦，那么我們可以安裝殺毒軟件防危害;
• 安裝殺毒軟件后，沒(méi)有被黑客危害，反而被殺毒軟件劫持了，那么我們選擇卸載軟件或重裝系統(tǒng);
• 以上均解決不了問(wèn)題的話(huà)，可以聯(lián)系專(zhuān)業(yè)廠(chǎng)商，如選擇購(gòu)買(mǎi)Panabit+Panalog服務(wù)器進(jìn)行處理;

如何使用Panalog進(jìn)行檢查

1. 在DNS統(tǒng)計(jì)處進(jìn)行查詢(xún)

??

可以發(fā)現(xiàn)出現(xiàn)被劫持DNS服務(wù)器的IP地址，可以判斷在該網(wǎng)絡(luò)中可能存在被劫持的用戶(hù)。

2. 會(huì)話(huà)日志處進(jìn)行篩查

直接選擇“異常分析”選項(xiàng)，直接找到異常的用戶(hù)IP和異常的協(xié)議名稱(chēng) (注意在Panalog上輸入IP地址段時(shí)要采用“x.x.x.x-x.x.x.y”的格式)

3. Panabit用戶(hù)對(duì)自己網(wǎng)絡(luò)進(jìn)行核查

對(duì)劫持的DNS重新指到正常DNS服務(wù)商(DNSPod)。

具體操作界面如下:

??

end，此次DNS劫持事件，希望能夠引起大家的足夠重視，只要我們懂得如何正確的使用互聯(lián)網(wǎng)，了解掌握預(yù)防網(wǎng)絡(luò)安全的方法，真正做到未雨綢繆，防患于未然，那么DNS劫持又有什么可擔(dān)心的呢。