作者：白玙
审核 & 校对：少焉
编辑 & 排版：雯燕

DNS 劫持作为最常见的网络攻击形式，是每个站长或者运维团队最为头疼的事件。苦心经营的网站受到 DNS 劫持后，不仅会影响网站流量、权重，还会让用户置身于危险之中，泄露隐衷造成财产损失。

就是这样一个简略到不能再简略的攻击方式，在 2009 年制作了轰动寰球的“银行劫持案”，导致巴西最大银行 Banco Bradesco 银行近 1% 客户受到攻打而导致账户被盗。黑客利用宽带路由器缺点对用户 DNS 进行篡改——用户浏览黑客所制作的 Web 页面，其宽带路由器 DNS 就会被黑客篡改，因为该 Web 页面设有奇妙设计的恶意代码，胜利躲过安全软件检测，导致大量用户被 DNS 钓鱼欺骗。

网站被黑、被恶意镜像、被植入垃圾代码，景象不足为奇，其危害还包含：

• 钓鱼欺骗网上购物, 网上支付有可能会被歹意指向别的网站，更加加大了个人账户泄密的危险；
• 网站内呈现歹意广告；
• 轻则影响网速，重则不能上网。

但面对 DNS 劫持时，只能束手就擒吗？

知己知彼，什么是 DNS？

DNS 即 Domain Name System 的缩写，域名零碎以分布式数据库的模式将域名和 IP 地址互相映射。简略的说，DNS 是用来解析域名的，在失常环境下，用户的每一个上网申请会通过 DNS 解析指向到与之相匹配的 IP 地址，从而实现一次上网行为。DNS 作为应用层协定，次要是为其余应用层协定工作的，包含不限于 HTTP、SMTP、FTP，用于将用户提供的主机名解析为 IP 地址，具体过程如下：

（1）用户主机（PC 端或手机端）上运行着 DNS 的客户端；

（2）浏览器将接管到的 URL 中抽取出域名字段，即拜访的主机名，比方 http://www.aliyun.com/ , 并将这个主机名传送给 DNS 利用的客户端；

（3）DNS 客户机端向 DNS 服务器端发送一份查问报文，报文中蕴含着要拜访的主机名字段（两头包含一些列缓存查问以及分布式 DNS 集群的工作）；

（4）该 DNS 客户机最终会收到一份答复报文，其中蕴含有该主机名对应的 IP 地址；

（5）一旦该浏览器收到来自 DNS 的 IP 地址，就能够向该 IP 地址定位的 HTTP 服务器发动 TCP 连贯。

（图片源自网络，仅作示意）

能够看到想要获取指标网站 IP，除了在本机中查找行为，还须要第三方服务器 (DNS) 参加。但只有通过第三方服务，网络就不属于可管制范畴，那么就有可能产生 DNS 挟持，比方获取的 IP 并不是理论想要的 IP，从而关上非指标网站。网站在通过本地 DNS 解析时，黑客将本地 DNS 缓存中的指标网站替换成其余网站的 IP 返回，而客户端并不知情，仍旧依照失常流程寻址建并立连贯。如果一些黑客想要盗取用户账号及明码时，黑客能够做跟指标网站截然不同的木马页面，让用户登录，当用户输出完明码提交的时候就中招了。

常见 DNS 劫持伎俩又有哪些？

（1）利用 DNS 服务器进行 DDoS 攻打

失常 DNS 服务器递归询问过程被利用，变成 DDoS 攻打。假如黑客通晓被攻打机器 IP 地址，攻击者应用该地址作为发送解析命令的源地址。当应用 DNS 服务器递归查问后会响应给最后用户。如果黑客管制了足够规模的肉鸡进行上述操作。那么，这个最后用户就会受到来自于 DNS 服务器的响应信息 DDoS 攻打，成为被攻击者。

（2）DNS 缓存感化

黑客应用 DNS 申请将数据注入具备破绽的 DNS 服务器缓存中。这些缓存信息会在客户进行 DNS 拜访时返回给用户，把用户对失常域名的拜访疏导到入侵者所设置挂马、钓鱼等页面上，或通过伪造邮件和其余服务获取用户口令信息，导致客户遭逢进一步侵害。

（3）DNS 信息劫持

原则上 TCP/IP 体系通过序列号等多种形式防止仿冒数据插入，但黑客通过监听客户端和 DNS 服务器对话，就能够解析服务器响应给客户端的 DNS 查问 ID。每个 DNS 报文包含一个相关联的 16 位 ID，DNS 服务器依据这个 ID 获取申请源地位。黑客在 DNS 服务器之前将虚伪响应交给用户，坑骗客户端去拜访歹意网站。假如当提交给某个域名服务器域名解析申请的数据包被截获，而后按黑客的用意将虚伪 IP 地址作为应答信息返回给请求者。这时，原始请求者就会把这个虚伪 IP 地址作为它所要申请的域名而进行连贯，显然它被疏导到了别处而基本连贯不上本人想要连贯的那个域名。

（4）ARP 坑骗

通过伪造 IP 地址和 MAC 地址实现 ARP 坑骗，在网络中产生大量 ARP 通信量使网络阻塞，黑客只有继续一直收回伪造的 ARP 响应包就能更改指标主机 ARP 缓存中的 IP-MAC 条目，造成网络中断或中间人攻打。ARP 攻打次要是存在于局域网网络中，局域网中若有一台计算机感化 ARP 木马，则感化该 ARP 木马的零碎将会试图通过 ”ARP 坑骗”伎俩截获所在网络内其它计算机的通信信息，并因而造成网内其它计算机的通信故障。ARP 坑骗通常是在用户局网中，造成用户拜访域名的谬误指向，但在 IDC 机房被入侵后，则也可能呈现攻击者采纳 ARP 包压抑失常主机、或者压抑 DNS 服务器，以使拜访导向谬误指向。

DNS 劫持对业务造成哪些影响？

一旦被劫持，相干用户查问就没方法获取到正确 IP 解析，这就很容易造成：

（1）很多用户习惯依赖书签或者易记域名进入，一旦被劫持会使这类用户无奈关上网站，更换域名又没方法及时告知变更状况，导致用户大量散失。

（2）用户流量次要是通过搜索引擎 SEO 进入，DNS 被劫持后会导致搜索引擎蜘蛛抓取不到正确 IP，网站就可能会被百度 ban 掉。

（3）一些域名应用在手机利用 APP 调度上，这些域名不须要能够给客户拜访，但这些域名的解析关系到利用 APP 拜访，如果解析呈现劫持就会导致利用 APP 无法访问。这时候更换域名就可能会导致 APP 的下架，从新上架须要审核并且不肯定能够从新上架。这就会导致利用 APP 会有用户无法访问或者下载的空窗期。

能够看到，DNS 劫持对业务有着微小影响，不仅仅是用户体验的损失，更是对用户资产平安、数据安全的造成潜在的微小危险。

咱们该如何监测网站是否被 DNS 劫持？

借助 ARMS- 云拨测，咱们实时对网站进行监控，实现分钟级别的监控，及时发现 DNS 劫持以及页面篡改。

劫持检测

DNS 劫持监测

利用域名白名单、元素白名单，无效探测域名劫持以及元素篡改状况。在建设拨测工作时，咱们能够设置 DNS 劫持白名单。比方，咱们配置 DNS 劫持格局的文件内容为 www.aliyun.com:201.1.1.22|250.3.44.67。这代表 www.aliyun.com 域名下，除了 201.1.1.22 和 250.3.44.67 之外的都是被劫持的。

页面篡改监测

咱们把原始页面的元素类型退出页面篡改白名单，在进行拨测时将加载元素与白名单比照，判断页面是否被篡改。比方，咱们配置页面篡改的文件内容为 www.aliyun.com:|/cc/bb/a.gif|/vv/bb/cc.jpg，这代表着 www.aliyun.com 域名下，除了根底文档、/cc/bb/a.gif 和 /vv/bb/cc.jpg 之外的元素都属于页面被篡改。再比方，咱们配置页面篡改的文件内容为 www.aliyun.com:*，代表：www.aliyuyn.com 域名下所有的元素都不认为是被篡改。

劫持告警

在继续监测的同时，及时告警也至关重要。通过灵便配置劫持告警比例，当工作的劫持比例大于阈值，即迅速告诉相干运维团队，对网站进行保护，确保用户的数据安全以及网站的失常浏览。

在晋升用户体验的同时，确保网站以及用户资产平安对于企业而言同样至关重要。

云拨测为你的网站平安与用户体验保驾护航！

对于云拨测

云拨测作为面向业务的非侵入式云原生监测产品，成为最佳的抉择。通过阿里云遍布寰球的服务网络，模仿实在用户行为，全天候继续监测网站及其网络、服务、API 端口可用性与性能。实现页面元素级、网络申请级、网络链路级细颗粒度问题定位。丰盛的监测关联项与分析模型，帮忙企业及时发现与定位性能瓶颈与体验暗点，压降经营危险，晋升服务体验与效力。

目前云拨测提供 15 天收费试用
新用户购买更有 9 折优惠！
点击浏览原文，理解更多详情！

理解更多相干信息，请扫描下方二维码或搜寻微信号（AlibabaCloud888）增加云原生小助手！获取更多相干资讯！