DNS劫持

DNS劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能反應或訪問的是假網址。

DNS（域名劫持）是把網絡地址（域名，以一個字符串的形式）對應到真實的計算機能夠識別的網絡地址（IP地址），以便計算機能夠進一步通信，傳遞網址和內容等。由于域名劫持往往只能在特定的被劫持的網絡范圍內進行，所以在此范圍外的域名服務器(DNS)能夠返回正常的IP地址，高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

如果知道該域名的真實IP地址，則可以直接用此IP代替域名后進行訪問。比如訪問百度域名，可以把訪問改為202.108.22.5，從而繞開域名劫持 。

應對方法:

DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知，曾導致巴西最大銀行巴西銀行近1%客戶受到攻擊而導致賬戶被盜。此次由國內領先的DNS服務商114DNS率先發現的DNS劫持攻擊，黑客利用寬帶路由器的缺陷對用戶DNS進行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁面，其寬帶路由器的DNS就會被黑客篡改，因為該WEB頁面沒有特別的惡意代碼，所以可以成功躲過安全軟件檢測，導致大量用戶被DNS釣魚詐騙。

由于一些未知原因，在極少數情況下自動修復不成功，建議您手動修改。同時，為了避免再次被攻擊，即使修復成功，用戶也可按照騰訊電腦管家提示的方法修改路由器的登錄用戶名和密碼。下面以用戶常用的TP-link路由器為例來說明修改方法（其他品牌路由器與該方法類似）。

1.手動修改路由器設置

在地址欄中輸入：http：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http：//192.168.0.1

填寫您路由器的用戶名和密碼，點擊“確定”

在“DHCP服務器—DHCP”服務中，填寫主DNS服務器為更可靠的114.114.114.114地址，備用DNS服務器為8.8.8.8，點擊保存即可。

2.修改路由器密碼

1.在地址欄中輸入：http：//192.168.1.1 （如果頁面不能顯示可嘗試輸入：http：//192.168.0.1）

2. 填寫您路由器的用戶名和密碼，路由器初始用戶名為admin，密碼也是admin，如果您修改過，則填寫修改后的用戶名和密碼，點擊“確定”

3.填寫正確后，會進入路由器密碼修改頁面，在系統工具——修改登錄口令頁面即可完成修改（原用戶名和口令和2中填寫的一致）

3.預防DNS劫持

其實，DNS劫持并不是什么新鮮事物，也并非無法預防，百度被黑事件的發生再次揭示了全球DNS體系的脆弱性，并說明互聯網廠商如果僅有針對自身信息系統的安全預案，就不足以快速應對全面而復雜的威脅。因此，互聯網公司應采取以下措施：

1、互聯網公司準備兩個以上的域名，一旦黑客進行DNS攻擊，用戶還可以訪問另一個域名。

2、互聯網應該對應急預案進行進一步修正，強化對域名服務商的協調流程。

3、域名注冊商和代理機構特定時期可能成為集中攻擊目標，需要加以防范。

4、國內有關機構之間應該快速建立與境外有關機構的協調和溝通，協助國內企業實現對此事件的快速及時的處理。

DNS劫持變種：

上周百度搜索上線了一個非常重要的策略，如果發現有網站被植入惡意篡改用戶路由DNS的代碼時，就會攔截頁面，打出提示！據安全聯盟的統計發現過萬的網站被黑，植入了路由DNS劫持代碼，這個數量非常之大。

過去一段時間，知道創宇安全研究團隊就捕獲了至少5個變種。這類攻擊的模式一般是：

攻擊者黑下一批網站；

攻擊者往這批網站里植入路由DNS劫持代碼（各種變形）；

攻擊者傳播或坐等目標用戶訪問這批網站；

用戶訪問這些網站后，瀏覽器就會執行“路由DNS劫持代碼”；

用戶的家庭/公司路由器如果存在漏洞就會中招；

用戶上網流量被“假DNS服務器”劫持，并出現奇怪的廣告等現象；

缺點

它不是很穩定，在某些網絡速度快的地方，真實的IP地址返回得比竊持軟件提供的假地址要快，因為監測和返回這么巨大的數據流量也是要花費一定時間的。

在網上查詢域名的正確IP非常容易。一個是利用海外的一些在線IP地址查詢服務，可以查找到網站的真實IP地址。在Google上搜索"nslookup"，會找到更多類似的服務。

攻擊機：Kali Linux IP地址：192.168.179.129

靶機：Windows 7 IP地址：192.168.179.130

工具：ettercap

網絡模式設置

首先要保證攻擊機和靶機處在同一局域網下，這里我們只需要把兩臺虛擬機的網絡模式設置為相同的即可，我這里的網絡模式設置為NAT模式，如下圖所示。

地址掃描

現在我們知道了兩臺機器處于同一局域網下，但是我們并不知道靶機的IP地址，所以我們需要利用netdiscover工具對同一網段下的存貨主機進行探測。

首先我們查看一下Kali攻擊機的IP地址，如下圖所示：

然后我們利用netdiscover工具進行地址掃描，命令如下：

netdiscover

發起攻擊

在成功拿到了靶機的ip地址后，我們利用ettercap工具開始對靶機發起攻擊。

掃描主機

打開errercap工具之后，點擊左上角的掃描按鈕，開始掃描局域網內的主機。然后點擊“Hosts List”按鈕，顯示掃描結果。如下圖所示，共掃描到了四臺主機，其中192.168.179.130是目標靶機的IP地址。

添加目標

之后，將目標靶機的ip地址設置為target 1，將網關設置為target 2。如下圖所示：

設置監聽

然后打開右上角的mitm菜單，選擇ARP Posioning，并勾選Sniff remote connections，設置為監聽模式。如下圖所示：

添加DNS記錄

這時，我們需要設置將目標訪問的網址如何解析，這需要我們更改ettercap工具的配置文件，在/etc/ettercap/ 目錄下的etter.dns文件，添加 ..com A 192.168.179.129 這條記錄，，保存即可意思是只要目標靶機訪問.com結尾的網站，就會被解析到192.168.179.129這個ip地址當中去。

發起攻擊

之后在菜單中選擇Plugins->Manage Plugins，勾選上dns_spoof，然后開始攻擊。

攻擊成功

攻擊成功后，我們訪問百度，可以看到瀏覽器跳轉到了其他的頁面。