面對DNS劫持，隻能坐以待斃嗎？

作者：白玙

稽核&校對：少焉

編輯&排版：雯燕

DNS 劫持作為最常見的網絡攻擊方式，是每個站長或者運維團隊最為頭疼的事情。苦心經營的網站受到 DNS 劫持後，不僅會影響網站流量、權重，還會讓使用者置身于危險之中，洩露隐私造成财産損失。

就是這樣一個簡單到不能再簡單的攻擊方式，在 2009 年制造了轟動全球的“銀行劫持案”，導緻巴西最大銀行 Banco Bradesco 銀行近 1% 客戶受到攻擊而導緻賬戶被盜。黑客利用寬帶路由器缺陷對使用者 DNS 進行篡改——使用者浏覽黑客所制作的 Web 頁面，其寬帶路由器 DNS 就會被黑客篡改，由于該 Web 頁面設有巧妙設計的惡意代碼，成功躲過安全軟體檢測，導緻大量使用者被 DNS 釣魚詐騙。

網站被黑、被歹意鏡像、被植入垃圾代碼，現象屢見不鮮，其危害還包括：

釣魚詐騙網上購物,網上支付有可能會被惡意指向别的網站，更加加大了個人賬戶洩密的風險；

網站内出現惡意廣告；

輕則影響網速，重則不能上網。

但面對DNS劫持時，隻能束手就擒嗎？

知己知彼，什麼是 DNS？

DNS 即 Domain Name System 的縮寫，域名系統以分布式資料庫的形式将域名和 IP 位址互相映射。簡單的說，DNS 是用來解析域名的，在正常環境下，使用者的每一個上網請求會通過 DNS 解析指向到與之相比對的 IP 位址，進而完成一次上網行為。DNS 作為應用層協定，主要是為其他應用層協定工作的，包括不限于 HTTP、SMTP、FTP，用于将使用者提供的主機名解析為 IP 位址，具體過程如下：

（1）使用者主機（PC 端或手機端）上運作着 DNS 的用戶端；

（2）浏覽器将接收到的 URL 中抽取出域名字段，即通路的主機名，比如

http://www.aliyun.com/

, 并将這個主機名傳送給 DNS 應用的用戶端；

（3）DNS 客戶機端向 DNS 伺服器端發送一份查詢封包，封包中包含着要通路的主機名字段（中間包括一些列緩存查詢以及分布式 DNS 叢集的工作）；

（4）該 DNS 客戶機最終會收到一份回答封包，其中包含有該主機名對應的 IP 位址；

（5）一旦該浏覽器收到來自 DNS 的 IP 位址，就可以向該 IP 位址定位的 HTTP 伺服器發起 TCP 連接配接。

（圖檔源自網絡，僅作示意）

可以看到想要擷取目标網站 IP，除了在本機中查找行為，還需要第三方伺服器(DNS)參與。但隻要經過第三方服務，網絡就不屬于可控制範圍，那麼就有可能産生 DNS 挾持，比如擷取的 IP 并不是實際想要的 IP，進而打開非目标網站。網站在經過本地 DNS 解析時，黑客将本地 DNS 緩存中的目标網站替換成其他網站的 IP 傳回，而用戶端并不知情，依舊按照正常流程尋址建并立連接配接。如果一些黑客想要盜取使用者賬号及密碼時，黑客可以做跟目标網站一模一樣的木馬頁面，讓使用者登入，當使用者輸入完密碼送出的時候就中招了。

常見 DNS 劫持手段又有哪些？

（1）利用 DNS 伺服器進行 DDoS 攻擊

正常 DNS 伺服器遞歸詢問過程被利用，變成 DDoS 攻擊。假設黑客知曉被攻擊機器 IP 位址，攻擊者使用該位址作為發送解析指令的源位址。當使用 DNS 伺服器遞歸查詢後會響應給最初使用者。如果黑客控制了足夠規模的殭屍電腦進行上述操作。那麼，這個最初使用者就會受到來自于 DNS 伺服器的響應資訊 DDoS 攻擊，成為被攻擊者。

（2）DNS 緩存感染

黑客使用 DNS 請求将資料注入具有漏洞的 DNS 伺服器緩存中。這些緩存資訊會在客戶進行 DNS 通路時傳回給使用者，把使用者對正常域名的通路引導到入侵者所設定挂馬、釣魚等頁面上，或通過僞造郵件和其他服務擷取使用者密碼資訊，導緻客戶遭遇進一步侵害。

（3）DNS 資訊劫持

原則上 TCP/IP 體系通過序列号等多種方式避免仿冒資料插入，但黑客通過監聽用戶端和 DNS 伺服器對話，就可以解析伺服器響應給用戶端的 DNS 查詢 ID。每個 DNS 封包包括一個相關聯的 16 位 ID，DNS 伺服器根據這個 ID 擷取請求源位置。黑客在 DNS 伺服器之前将虛假響應交給使用者，欺騙用戶端去通路惡意網站。假設當送出給某個域名伺服器域名解析請求的資料包被截獲，然後按黑客的意圖将虛假 IP 位址作為應答資訊傳回給請求者。這時，原始請求者就會把這個虛假 IP 位址作為它所要請求的域名而進行連接配接，顯然它被引導到了别處而根本連接配接不上自己想要連接配接的那個域名。

（4）ARP 欺騙

通過僞造 IP 位址和 MAC 位址實作 ARP 欺騙，在網絡中産生大量 ARP 通信量使網絡阻塞，黑客隻要持續不斷發出僞造的 ARP 響應包就能更改目标主機 ARP 緩存中的 IP-MAC 條目，造成網絡中斷或中間人攻擊。ARP 攻擊主要是存在于區域網路網絡中，區域網路中若有一台計算機感染 ARP 木馬，則感染該 ARP 木馬的系統将會試圖通過"ARP 欺騙”手段截獲所在網絡内其它計算機的通信資訊，并是以造成網内其它計算機的通信故障。ARP 欺騙通常是在使用者局網中，造成使用者通路域名的錯誤指向，但在 IDC 機房被入侵後，則也可能出現攻擊者采用 ARP 包壓制正常主機、或者壓制 DNS 伺服器，以使通路導向錯誤指向。

DNS 劫持對業務造成哪些影響？

一旦被劫持，相關使用者查詢就沒辦法擷取到正确 IP 解析，這就很容易造成：

（1）很多使用者習慣依賴書簽或者易記域名進入，一旦被劫持會使這類使用者無法打開網站，更換域名又沒辦法及時告知變更情況，導緻使用者大量流失。

（2）使用者流量主要是通過搜尋引擎 SEO 進入，DNS 被劫持後會導緻搜尋引擎蜘蛛抓取不到正确 IP，網站就可能會被百度 ban 掉。

（3）一些域名使用在手機應用 APP 排程上，這些域名不需要可以給客戶通路，但這些域名的解析關系到應用 APP 通路，如果解析出現劫持就會導緻應用 APP 無法通路。這時候更換域名就可能會導緻 APP 的下架，重新上架需要稽核并且不一定可以重新上架。這就會導緻應用 APP 會有使用者無法通路或者下載下傳的空窗期。

可以看到，DNS 劫持對業務有着巨大影響，不僅僅是使用者體驗的損失，更是對使用者資産安全、資料安全的造成潛在的巨大風險。

我們該如何監測網站是否被 DNS 劫持？

借助 ARMS-雲撥測，我們實時對網站進行監控，實作分鐘級别的監控，及時發現 DNS 劫持以及頁面篡改。

劫持檢測

DNS 劫持監測

利用域名白名單、元素白名單，有效探測域名劫持以及元素篡改情況。在建立撥測任務時，我們可以設定 DNS 劫持白名單。比如，我們配置 DNS 劫持格式的檔案内容為 www.aliyun.com:201.1.1.22|250.3.44.67。這代表 www.aliyun.com 域名下，除了 201.1.1.22 和 250.3.44.67 之外的都是被劫持的。

頁面篡改監測

我們把原始頁面的元素類型加入頁面篡改白名單，在進行撥測時将加載元素與白名單對比，判斷頁面是否被篡改。比如，我們配置頁面篡改的檔案内容為 www.aliyun.com:|/cc/bb/a.gif|/vv/bb/cc.jpg，這代表着 www.aliyun.com 域名下，除了基礎文檔、/cc/bb/a.gif 和 /vv/bb/cc.jpg 之外的元素都屬于頁面被篡改。再比如，我們配置頁面篡改的檔案内容為 www.aliyun.com:*，代表：www.aliyuyn.com 域名下所有的元素都不認為是被篡改。

劫持告警

在持續監測的同時，及時告警也至關重要。通過靈活配置劫持告警比例，當任務的劫持比例大于門檻值，即迅速通知相關運維團隊，對網站進行維護，確定使用者的資料安全以及網站的正常浏覽。

在提升使用者體驗的同時，確定網站以及使用者資産安全對于企業而言同樣至關重要。雲撥測為你的網站安全與使用者體驗保駕護航！

關于雲撥測

雲撥測作為面向業務的非侵入式雲原生監測産品，成為最佳的選擇。通過阿裡雲遍布全球的服務網絡，模拟真實使用者行為，全天候持續監測網站及其網絡、服務、API 端口可用性與性能。實作頁面元素級、網絡請求級、網絡鍊路級細顆粒度問題定位。豐富的監測關聯項與分析模型，幫助企業及時發現與定位性能瓶頸與體驗暗點，壓降營運風險，提升服務體驗與效能。