家用路由器被劫持的分析与应对
|
副标题[/!--empirenews.page--]
2019年2月20日,DNSPod发布一则通知,称监控到有大规模的黑产攻击事件发生,导致被攻击的用户在访问所有网络服务时DNS解析被调度到江苏电信或周边线路。 为何会出现如此现象? 是因为用户使用了病毒的DNS进行解析,病毒DNS再递归给114.114.114.114或者其他公共DNS。此时,公共DNS会认为用户就来自病毒DNS所在的网段。 如果病毒DNS所在电信网络,那么公共DNS就会优先输出电信的CDN,这个时候对联通和移动的用户来说,就要跨越运营商的结算边界,去访问电信的CDN服务器,因此出现了大量的用户出现跨网访问,造成运营商之间出现跨网访问结算和出口拥堵,导致用户体验极差。
紧接着,2019年2月22日,国家互联网应急中心CNCERT发布通报,证实本次黑客攻击路由器事件,主要是针对用户的DNS进行劫持,导致用户访问部分网站时被劫持到涉黄涉赌的网站上。 耸人听闻的DNS劫持 何为DNS劫持,这恐怕还要从DNS的功能说起。 1. DNS功能: DNS中文全称为域名系统(英文:DomainNameSystem,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。 说的通俗一些,用户上网时,没有人去记忆网站服务器的IP地址,一是IP地址太多,二是根本记不住,而且有些网站服务器还要不断的更新IP地址。那么为了方便大家上网,我们会把网站的域名和该网站服务器的IP地址做关联,这就是DNS服务器的作用。 当用户上网时,只需要输入网址,再由DNS服务器进行查找相应服务器的IP地址,进而访问互联网。 说到这,不免让我们想起生活中的电话簿,通过姓名去查电话号码与DNS的作用存在异曲同工之妙。 2. DNS劫持: DNS协议是网络中最为重要的服务之一,但在黑产盛行的年代,DNS服务也是最容易被黑产利用的工具。 我们在上网过程中都有遇到过网页莫名跳转这些情况,打开的目标网站不是原来的内容,反而跳转到了未知的页面,即使终端用户输入正确的网址也会被指向跳转至那些恶意网站,或者本来能正常访问的页面,突然就打不开了,这就是DNS劫持,亦可称域名劫持。 出现了这些令人困扰的异常现象,意味着你可能是DNS劫持、投毒的受害者。 DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。 黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面设有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。 本次CNCERT 400万+用户的家用路由器的DNS被劫持,进而造成了非常大的网络安全。 这次黑产操纵的DNS劫持事件主要目的是为了将用户的一些正常域名(主要是彩票网站)解析到非法博彩网站,通过用户对非法博彩网站的访问和点击从中获利。 正常DNS访问的乐彩网网站 具体表现为:103.85.84.0/24、103.85.85.0/24、45.113.201.0/24三个地址段提供的DNS服务,对190余个博彩类域名的解析进行劫持,最终跳转到博彩网站www.mg437700.vip:8888 被劫持到境外非法博彩网站 本次DNS劫持事件涉及面之广、影响之大,是十分严重的事件。那么,抛开此次事件不提,在DNS的历史上,出现过多次大规模的劫持事件,作为普通用户来讲,我们有哪些方法可以针对DNS劫持做一些预防呢? 首先我们先来看下DNS的网络拓扑: 如上图所示,在整个上网的流程中,DNS这环节无疑是脆弱而且不受用户控制的。DNS劫持由于通常发生在为大家提供上网的网络运营商的公共DNS服务器,因此普通用户很难进行处理也无法进行有效预防,因此就造成当访问的目标网站被劫持的时候会跳转到其他地址的情况。 要对付运营商的DNS劫持,设置一个可靠的DNS服务器往往就可以解决问题。然而,很多朋友在设置了可靠的DNS服务器后,仍然不能解析到正确的IP地址,例如某个网站的IP地址明明是可以Ping通的,但就是无法访问。 这部分网站无法访问的原因是网站域名解析错误,而这就存在这几种可能:
针对IPv6场景多说一点,区别以前IPv4的网络,IPv6网络让所有本来受IPv4的NAT保护的家用路由器暴露在公网上,存在漏洞的家用路由器可以直接被渗透,导致节点污染从而影响了全网。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号