DNS劫持

　　DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围之外的请求放行，不然返回假的IP地址或者什么都不作使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

　　DNS（域名劫持）是把网络地址（域名，以一个字符串的形式）对应到真实的计算机可以识别的网络地址（IP地址），以便计算机可以进一步通讯，传递网址和内容等。因为域名劫持每每只能在特定的被劫持的网络范围内进行，因此在此范围外的域名服务器(DNS)可以返回正常的IP地址，高级用户能够在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。因此域名劫持一般相伴的措施——封锁正常DNS的IP。

　　若是知道该域名的真实IP地址，则能够直接用此IP代替域名后进行访问。好比访问百度域名，能够把访问改成202.108.22.5，从而绕开域名劫持 。

 

应对方法:

　　DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知，曾致使巴西最大银行巴西银行近1%客户受到攻击而致使帐户被盗。这次由国内领先的DNS服务商114DNS率先发现的DNS劫持攻击，黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面，其宽带路由器的DNS就会被黑客篡改，由于该WEB页面没有特别的恶意代码，因此能够成功躲过安全软件检测，致使大量用户被DNS钓鱼诈骗。

　　因为一些未知缘由，在极少数状况下自动修复不成功，建议您手动修改。同时，为了不再次被攻击，即便修复成功，用户也可按照腾讯电脑管家提示的方法修改路由器的登陆用户名和密码。下面以用户经常使用的TP-link路由器为例来讲明修改方法（其余品牌路由器与该方法相似）。

 

1. 手动修改路由器设置

1. 在地址栏中输入：http：//192.168.1.1 （若是页面不能显示可尝试输入：http：//192.168.0.1
2. 填写您路由器的用户名和密码，点击“肯定”
3. 在“DHCP服务器—DHCP”服务中，填写主DNS服务器为更可靠的114.114.114.114地址，备用DNS服务器为8.8.8.8，点击保存便可。

2.修改路由器密码

　　1.在地址栏中输入：http：//192.168.1.1 （若是页面不能显示可尝试输入：http：//192.168.0.1）

　　2. 填写您路由器的用户名和密码，路由器初始用户名为admin，密码也是admin，若是您修改过，则填写修改后的用户名和密码，点击“肯定”

　　3.填写正确后，会进入路由器密码修改页面，在系统工具——修改登陆口令页面便可完成修改（原用户名和口令和2中填写的一致）

3.预防DNS劫持

　　其实，DNS劫持并非什么新鲜事物，也并不是没法预防，百度被黑事件的发生再次揭示了全球DNS体系的脆弱性，并说明互联网厂商若是仅有针对自身信息系统的安全预案，就不足以快速应对全面而复杂的威胁。所以，互联网公司应采起如下措施：

　　一、互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，用户还能够访问另外一个域名。

　　二、互联网应该对应急预案进行进一步修正，强化对域名服务商的协调流程。

　　三、域名注册商和代理机构特定时期可能成为集中攻击目标，须要加以防范。

　　四、国内有关机构之间应该快速创建与境外有关机构的协调和沟通，协助国内企业实现对此事件的快速及时的处理。

 

DNS劫持变种：

　　上周百度搜索上线了一个很是重要的策略，若是发现有网站被植入恶意篡改用户路由DNS的代码时，就会拦截页面，打出提示！据安全联盟的统计发现过万的网站被黑，植入了路由DNS劫持代码，这个数量很是之大。
　　过去一段时间，知道创宇安全研究团队就捕获了至少5个变种。这类攻击的模式通常是：

1. 攻击者黑下一批网站；
2. 攻击者往这批网站里植入路由DNS劫持代码（各类变形）；
3. 攻击者传播或坐等目标用户访问这批网站；
4. 用户访问这些网站后，浏览器就会执行“路由DNS劫持代码”；
5. 用户的家庭/公司路由器若是存在漏洞就会中招；
6. 用户上网流量被“假DNS服务器”劫持，并出现奇怪的广告等现象；

　　虽然此次攻击主要针对Tp-Link路由器，不过中招的路由不只TP-Link！对此安全联盟推出DNS劫持专题 ^[1] ，为网民及站长提供详细解决方案。

 

拓展阅读：2013DNS劫持钓鱼事件，114DNS, 网络钓鱼，钓鱼网站