什么是 DNS 劫持？

技巧与窍门

10分钟阅读

2024年5月14日

撰文者

Lexie

分享到 Facebook 分享到 Twitter 分享到 Whatsapp 分享到 Telegram 通过邮件分享

海外npv加速器下载

域名系统劫持DNS 劫持是一种策略，用于将用户重定向到与其意图访问的网站不同的网站，通常用于窃取个人数据、显示不想要的广告或施加互联网审查。

跳转到什么是 DNS？DNS 劫持如何运作为什么 DNS 会被劫持？常见类型的 DNS 劫持攻击如何检测 DNS 劫持防止 DNS 劫持的方法DNS 劫持 vs DNS 欺骗 vs 缓存中毒DNS 劫持的真实案例

什么是 DNS？

域名系统DNS是互联网的一部分，用于将人类友好的域名如 wwwexpressvpncom转换为计算机友好的 IP 地址即一串长数字，这使得计算机能够与所需的位置连接并加载正确的页面。

每当你尝试通过点击链接或输入 URL 来访问网页时，在你加载正确网页之前，都会进行 DNS 查询。你的互联网服务提供商ISP和 WiFi 管理员 能够通过 DNS 信息看到你在浏览什么内容。当你启用 ExpressVPN 时，我们的服务器会处理你所有的 DNS 请求，而不是你的 ISP。实际上，由于 ExpressVPN 加密了你的流量，你的 ISP 甚至无法知道你是否进行 DNS 请求。我们 从不记录 DNS 请求，而当我们代表你查找名称时，其他的 DNS 服务器只能看到我们的服务器地址他们无法看到你的任何信息。

想了解更多关于 DNS 的功能吗？观看下面的视频：

DNS 劫持如何运作

当计算机请求 DNS 服务器查找网站时，它并不会检查是否连接到正确的服务器。这使得 攻击者 能够伪装成 DNS 服务器并提供错误的响应。

DNS 服务器本身也可能会污染其记录。这意味着将你想要访问的网站的 IP 地址替换为其他网站的地址，或者直接删除这条记录。这就像修改电话簿，删除一些姓名或公司，或将某个条目的地址换成另一个公司的地址。

DNS 劫持使得一个复杂的攻击者能够伪装网站，收集个人信息，例如密码和 IP 地址。

为什么 DNS 会被劫持？

由于 DNS 是互联网最重要的组成部分之一，因此它也成为了各种攻击形式的目标，主要原因包括：

显示广告以生成收入

攻击者可以劫持你的 DNS 来显示不想要的广告，利用一种称为药物营销pharming的技术。在不那么欺诈的情况下，你的互联网服务提供商也可以操控你的 DNS 请求，向你展示广告。

窃取你的个人信息

DNS 劫持者会将你重定向到看似合法的假网站，旨在窃取你的登录凭据和其他个人数据。这是一种常见的手法，称为 钓鱼。

政府或组织审查

政府可以利用 DNS 劫持来压制政治反对派或禁止某些在线内容。用户无法访问被审查的网站，并被重定向到其他网站。学校和组织也可以操控 DNS 请求，以防止不当内容展示给他们的用户。

常见类型的 DNS 劫持攻击

本地 DNS 劫持

攻击者首先在用户的计算机上安装恶意软件，然后可以更改你的 DNS 设置并将你重定向到恶意网站，通常目的是窃取个人数据。

路由器 DNS 劫持

攻击者可以通过利用软件漏洞来更改你的路由器的 DNS 设置。他们还可以使用默认用户名和密码进入你路由器的配置页面。这允许他们将你重定向到恶意网站以获取个人信息或对设备造成损害。因此，定期更新路由器以修复漏洞非常重要。ExpressVPN 路由器 会自动更新，免去你的麻烦！

路由器漏洞

此漏洞也涉及到路由器。在这种情况下，攻击者利用你路由器中的漏洞，更改你的 DNS 配置以进行劫持。确保路由器的固件始终保持最新，以降低这种风险。

中间人 DNS 攻击

中间人MITM攻击截取你与另一方的通信，通常是你尝试访问的网站或应用。而你看到的并不是合法网站，而是恶意网站。

伪造 DNS 服务器攻击

当攻击者黑入 DNS 服务器并更改其 DNS 记录时，就会发生这种情况。你的 DNS 请求会返回恶意网站。

如何检测 DNS 劫持

通常，有一些明显的迹象表明你的 DNS 已被劫持。例如，网页加载速度可能比平常慢，或你可能会看到随机的弹出窗口告知你计算机已被感染。当然，这些迹象不足以确认，幸好有一些工具可以帮助你验证是否存在 DNS 劫持。

使用 ping 命令

你可以通过运行 ping 命令来检测 DNS 劫持，该命令基本上是测试某个 IP 地址是否存在。如果你 ping 一个不存在的域名，并且它能解析，那么你的 DNS 很可能已被劫持。如果没有解析，则表示你的 DNS 是安全的。

确保你尝试 ping 一个不存在的网站域名。否则，你将获得一个响应并产生误报。

在 Mac 中打开终端。输入以下命令：ping [随机网站名]。

如果显示“无法解析”，则你的 DNS 是安全的。

在 Windows 中打开命令提示符。输入以下命令：ping [随机网站名]。

如果显示“无法解析”，则你的 DNS 是安全的。

在 Linux 中打开终端。输入以下命令：ping [随机网站名]。

如果显示“无法解析”，则你的 DNS 是安全的，因为你尝试 ping 的随机域名不会匹配任何实际的 IP 地址。

检查路由器上的 DNS 设置

这个过程涉及通过路由器的 IP 地址访问其管理面板，通常可以在你设备的网络设置中找到。一旦登录，导航到 DNS 设置，查看你的路由器配置使用的 DNS 服务器。确认这些服务器是合法的并经过授权，通常由你的互联网服务提供商ISP或可信的第三方服务如 Google DNS 或 OpenDNS提供。手动检查这些设置使你能掌控并清楚了解网络的安全状态。

使用 WhoIsMyDNScom

WhoIsMyDNS 显示你正在使用的 DNS 服务器及其拥有的公司。除非你连接到 VPN，否则你将使用互联网服务提供商提供的 DNS 服务器的 IP 地址。如果你对公司名称不认识，可能说明你的 DNS 存在问题。

检查你的 URL

URL统一资源定位符是互联网地址的技术术语。你在网络浏览器的地址栏输入的内容，通常用于访问网站。如果你感到怀疑，重要的是在浏览器加载你要访问的网站后检查整个 URL。如果其中有一点点不同例如，expressvoncom 而不是 expressvpncom，你的 DNS 可能已经受到影响。

防止 DNS 劫持的方法

幸运的是，有一些方法可以防止 DNS 劫持。

对于普通互联网用户

以下是一些可以帮助你防止 DNS 劫持的措施：

更改路由器的默认用户名和密码。 这可以防止攻击者使用常用的默认登录凭据来访问你的路由器设置。确保软件是最新的。 包括操作系统及你所使用的任何应用程序，因为它们都可能成为攻击的载体。此外，还需检查路由器的固件是否已更新。安装防病毒软件。 防病毒软件可以检测并消除进行 DNS 劫持的恶意软件。有些防病毒软件会进行持续扫描，及时发现攻击。使用 VPN。 ExpressVPN 运行自己的加密安全 DNS 服务器，所以当你连接到 ExpressVPN 时，自动使用这些服务器。没有其他人可以获取你的信息或劫持你的连接。 这也确保了你无法被政府或互联网服务提供商审查。如果你的 ISP 的 DNS 服务器不安全，使用替代 DNS 服务，如 Google 公共 DNS、OpenDNS 或 Cloudflare DNS。

如果你做到上述所有，你将构建一个多层防御来抵御 DNS 劫持。

对于名称服务器和解析器

关闭不需要的 DNS 解析器。合法的解析器应该放置在防火墙后面。限制对名称服务器的访问。应该使用网络安全措施。针对缓存中毒采取预防措施。例如，使用随机源端口和查询 ID。此外，在域名中随机化大小写。修补已知漏洞。黑客会主动利用 DNS 服务器中的漏洞。将权威名称服务器与 DNS 解析器分离。一个受到 DDoS 攻击不会影响另一个。

对于网站所有者

如果你使用域名注册商替你注册域名，采取以下步骤以避免 DNS 重定向：

限制 DNS 访问

将 DNS 访问限制为仅有少数 IT 团队成员。确保他们在访问域名服务器注册商时使用双因素认证。

启用客户端锁定

一些 DNS 注册商支持客户端锁定，防止未经批准的 DNS 记录更改。如果你的 DNS 注册商支持此选项，请启用。

使用支持 DNSSEC 的 DNS 注册商

DNSSEC 是域名系统安全扩展的缩写。它使得黑客窃取你的 DNS 请求变得更加困难。如果你的 DNS 注册商支持 DNSSEC，请确保启用此选项。

DNS 劫持 vs DNS 欺骗 vs 缓存中毒

DNS 劫持、DNS 欺骗和缓存中毒都是涉及域名系统DNS的网络操控方法，但它们在机制和影响上有所不同：

DNS 劫持： 当攻击者将查询重定向到恶意 DNS 服务器时，它通常通过更改网络设备如路由器的 DNS 设置来实现。这可能导致用户在不知情的情况下访问欺诈网站，潜在地导致机密信息被窃取。DNS 欺骗： 也称为 DNS 缓存欺骗，这涉及通过向 DNS 解析器的缓存中插入虚假信息来破坏 DNS 查询过程。这使得用户访问伪造网站而不是他们意图访问的合法网站，类似于劫持，但通常发生在解析器级别，而不是用户设备级别。缓存中毒： DNS 欺骗的一种特定形式，缓存中毒涉及向 DNS 解析器发送损坏的 DNS 缓存数据。这些不正确信息被存储在 DNS 缓存中，导致查询解析器的用户收到错误的响应，并将其引导到未经授权或恶意的网站。

DNS 劫持的真实案例

现实生活中有许多 DNS 劫持的例子。以下是一些重大案例：

海龟行动

在2017年初，一个神秘的组织“海龟”针对跨越13个国家的40个组织，主要位于中东和北非。他们破坏了处理受害者 DNS 查询的第三方，将其重定向到假网站以窃取其登录凭据。

Twitter、纽约时报和赫芬顿邮报的 DNS 劫持

在2013年，一个名为“叙利亚电子军”的黑客组织劫持了 Twitter、纽约时报和赫芬顿邮报等媒体的 DNS 服务器。

ICANN DNS 劫持攻击

互联网名称与编号分配公司ICANN在2018年被一个名为 NetDevilz 的土耳其黑客组织劫持。其网站用户被重定向到显示“你认为你控制域名，但你没有！每个人都知道你是错的”的页面。

对 WikiLeaks 的 DNS 攻击

在2017年，一个名为 OurMine 的沙特阿拉伯黑客组织入侵了 WikiLeaks 的 DNS 服务器，将其用户重定向到假网站。

常见问题：关于 DNS 劫持

DNS 劫持常见吗？

DNS 劫持在所有类型的 DNS 攻击中较为常见。在一项调查中，47 的受访者受到过 DNS 劫持，排在其后的是 DDoS 攻击46和 DNS 隧道35。

VPN 是否能防止 DNS 劫持？

是的。VPN 有助于防止 DNS 劫持。大多数 VPN 服务会运行自己的 DNS 服务器，防止你的 DNS 查询被拦截。ExpressVPN 在每个 VPN 服务器上运行自己的加密 DNS，保护你的互联网流量。

黑客可以对你的 DNS 做什么？

攻击者可以通过各种形式的 DNS 攻击对你的 DNS 造成伤害。例如，某人可以劫持你的 DNS，将你重定向到恶意网站，通常用以窃取个人数据或向你的设备传播恶意软件。在 DNS 欺骗中，可以更改你的 DNS 记录，将你重定向到欺诈网站。

DNS 中毒和 DNS 劫持有什么区别？

DNS 欺骗或称缓存中毒会用虚假信息覆盖你的本地 DNS 缓存值，导致你重定向到恶意网站。DNS 劫持也称为 DNS 重定向，通常涉及向你的设备安装恶意软件，来劫持你的 DNS。

我怎么改变我的 DNS 服务器？

如果你认为你的互联网服务提供商提供的 DNS 服务器并不安全，可以在 Mac、Windows、iOS、Android 和 Linux 的设置中更改你的 DNS 服务器。如果你已经连接到 ExpressVPN，则无需更改 DNS 服务器，因为你将使用 ExpressVPN 的 私人、加密的 DNS 服务器。

利用 DNS 欺骗审查互联网有什么问题？

许多国家通过要求互联网服务提供商从其 DNS 服务器上删除某些域名来实施互联网审查，尽管这是一种相对容易规避的审查方式。然而，当一个专制政权控制整个网络时，它可以完全阻止不配合的 DNS 服务器，或采取深包检测Deep Packet Inspection选择性地屏蔽或误导请求。

标签DNS加密如何

Lexie

Lexie 是本博客的技术专家，热衷于通过技术赋权、太空旅行和蓝莓煎饼。

你喜欢你所阅读的内容吗？

为这篇文章鼓掌，或分享你的想法！

40

0