DNS平安威胁有哪些类型？你了解其中的域名劫持吗？

哎， 你平时上网的时候，有没有遇到过这种情况：明明想打开淘宝，后来啊跳转到一些乱七八糟的网站？或者登录银行网站的时候，页面突然变成一个不认识的页面让你输账号密码？别以为是你手机坏了可能是你的DNS出问题了！DNS这东西， 说白了就是互联网的“地址簿”， 就这样吧... 你输入一个网址，它帮你找到对应的IP地址，就像你找人要先查地址一样。但是这个“地址簿”其实挺脆弱的，很容易被坏人盯上，搞出各种平安问题。今天就来说说DNS都有哪些平安威胁，特别是那个最让人头疼的“域名劫持”，你到底了解多少？

DNS到底是个啥？为啥它会被攻击？

先别急着听那些复杂的术语，我给你用大白话解释一下。DNS，中文叫“域名系统”，简单说就是互联网的“翻译官”。你输入“www.baidu.com”， 这个是域名，电脑其实看不懂，它需要IP地址，比如“110.242.68.4”，DNS就是帮你把“域名”翻译成“IP地址”的。没有它，你只能记一长串数字，那上网不就跟记 那为啥DNS会被攻击呢？你想啊，这么重要的“翻译官”，要是被坏人控制了那不就是“乱翻译”吗？把你要去的A网站，翻译成B网站，这样你的信息不就被偷走了？而且DNS这东西，它本身的设计就没怎么考虑平安问题，有点“傻白甜”，容易被骗。再加上现在用的人多，网站多，DNS服务器天天要处理无数的请求，忙不过来就更容易被钻空子了。所以啊，DNS现在成了黑客最喜欢的目标之一，攻击手段五花八门，防不胜防。 DNS平安威胁有哪些类型？比你想象的还多！ 别以为DNS攻击就那么一两种，其实多了去了！我给你数数，常见的就有好几种，每种都能让你头疼不已。 1. 拒绝服务攻击：让DNS服务器“累死” 这种攻击最简单粗暴， 就像一群人去你家门口堵门，不让你出门，也不让别人进门。DNS拒绝服务攻击就是这样的：黑客控制好多台电脑， 一边给目标DNS服务器发海量的请求，服务器忙得要死，根本处理不过来正常的用户请求。 我始终觉得... 后来啊就是你想打开的网站打不开了整个网络瘫痪！这种攻击没啥技术含量， 但威力特别大，大网站经常中招，比如之前就有大公司的DNS服务器被攻击，导致全国用户都访问不了他们的网站，损失惨重。 拒绝服务攻击还分好几种， 比如UDP flood、TCP flood、DNS query flood，还有一种更阴的，叫“反射攻击”，黑客伪造你的IP地址，去攻击别人，后来啊别人的“回包”全打到你这儿，让你背锅，自己倒没事。反正不管哪种，后来啊都一样：DNS服务器崩溃，你上网断网。 2. DNS缓存投毒：让DNS“记错地址” 这个攻击更隐蔽，就像有人偷偷把你手机里的联系人全改了。DNS服务器为了快， 会把解析过的域名和IP地址存在缓存里下次用户再访问，直接从缓存里拿，不用再去查，速度快很多。但黑客就利用这一点，往DNS服务器的缓存里塞假的“域名-IP”记录。 准确地说... 比如 你想访问“www.bank.com”，正常IP是“1.2.3.4”，黑客把缓存改成“9.9.9.9”，这样你访问的时候，DNS服务器直接告诉你“9.9.9.9”，你就跳到钓鱼网站去了账号密码全被偷了！ 缓存投毒的危害特别大， 主要原因是缓存有“存活时间”，比如缓存10分钟，这10分钟里所有访问这个域名的用户都会被坑。而且这种攻击很难被发现， 我怀疑... 用户以为是自己网络不好，其实是DNS被“下毒”了。清除缓存才能恢复，但普通用户哪会清缓存啊？只能等DNS自己过期，或者等管理员发现。 3. DNS隧道攻击：用DNS“偷偷传数据” 这个攻击就比较高级了像特工用密传情报。DNS协议本身是干嘛的？是查询域名的。但黑客发现，DNS查询可以“夹带私货”——把其他数据成DNS查询，通过DNS服务器传出去。比如黑客在你电脑里种了木马，木马想把你公司内部的文件偷偷传出去，怎么办？就用DNS隧道！把文件数据拆成小段， 每段成一个“域名查询”，比如“a1.hacker.com”“a2.hacker.com”，DNS服务器收到这些“查询”，以为是正常的，就把“响应”传给黑客。整个过程看起来就像普通的DNS访问，防火墙根本发现不了数据就这么被“偷”走了。 谨记... DNS隧道攻击最可怕的是隐蔽性，很多企业被偷了数据都不知道怎么泄露的。而且它能绕过防火墙，主要原因是DNS查询通常是被允许的，不像其他端口会被拦截。所以这种攻击常用于内网渗透，黑客先控制你一台电脑，然后用DNS隧道把内网数据一点点导出去，防不胜防。 4. 钓鱼式DNS攻击：让你“自愿”上钩 这个攻击跟钓鱼网站有点像，但更“高级”。钓鱼网站是直接做一个假网站，比如假淘宝，让你输账号密码。而钓鱼式DNS攻击是“釜底抽薪”——直接把DNS解析改成钓鱼网站！比如你想访问“www.taobao.com”， 黑客通过DNS劫持， 物超所值。 让你跳到“www.taobao123.com”，这个假的淘宝跟真的一模一样，你输入账号密码，直接被黑客偷走。而且这种攻击还能“精准打击”， 比如你访问银行网站，就跳到假银行；访问支付网站，就跳到假支付，让你防不胜防。 观感极佳。 钓鱼式DNS攻击的识别难度特别大，主要原因是域名跟真的很像，普通人根本看不出来。比如“www.icbc.com.cn”和“www.icbc.com.cn1”， 你仔细看才能发现，一般人谁会注意啊？而且这种攻击还能结合短信、 邮件，给你发个“中奖链接”，你一点进去，DNS就被篡改了直接跳到钓鱼网站，想跑都来不及。 重点来了！域名劫持到底有多可怕？ 我直接好家伙。 上面说了那么多攻击类型，其实“域名劫持”是其中最常见、最让企业和个人头疼的一种。你可能会问：“域名劫持跟DNS劫持有啥区别？”简单说 DNS劫持是改DNS服务器的解析记录，让用户访问时跳转；而域名劫持更狠——直接把你的域名“偷走”！比如你注册了个“www.mycompany.com”， 域名劫持就是黑客通过非法手段，把域名的管理权限拿到手，把解析改成他的服务器，甚至把域名转移到他的名下！这可不是跳转那么简单，你的域名彻底不属于你了！ 域名劫持是怎么发生的？ 域名劫持的手段可多了最常见的几种： 第一种，偷账号密码。你注册域名的时候，需要登录域名服务商的网站，管理域名。如果你密码太简单， 或者中了木马，密码被黑客偷了他就能登录你的账户，直接修改域名的解析设置，甚至把域名转走。我朋友之前就遇到过 密码被偷，域名被改到别人的服务器上，网站直接瘫痪，找了服务商好几天才找回来损失了好几万。 第二种，利用漏洞。域名服务商的系统也可能有漏洞， 比如某年有个大漏洞，黑客通过漏洞就能直接修改别人的域名信息，不需要密码！这种攻击更可怕，你再小心密码也没用，服务商不平安，你照样中招。 第三种，社会工程学。就是“骗”。黑客成域名服务商的客服， 给你打 域名劫持的危害有多大？ 域名被劫持了后果不堪设想。对企业域名就是门面是品牌！比如“www.apple.com”被劫持了用户访问苹果官网，跳到山寨网站，苹果的声誉不就完蛋了？而且企业网站瘫痪， 我们都曾是... 客户访问不了订单全飞了经济损失惨重。之前有个电商公司的域名被劫持，三天才找回来这三天里订单少了十几万，员工天天加班，老板差点急疯了。 对个人如果你有个个人博客、小网站，域名被劫持了意味着你所有的努力都白费了。比如你写了好几年的技术博客，域名被偷了读者再也找不到你了多难受？而且黑客拿到你的域名， 可能用来搞非法活动，比如发钓鱼网站、传播病毒，再说说捕快找上门，你还背黑锅，跳进黄河也洗不清。 最恶心的是域名劫持了想找回来特别麻烦。你得联系域名服务商，证明这个域名是你的，提供各种资料，可能还要报警，折腾半个月才可能拿回来。就算找回来了这段时间里你的网站流量、用户信任全没了损失根本补不回来。 怎么防护DNS平安？特别是域名劫持！ 说了这么多攻击，是不是觉得天都要塌了？别怕，虽然DNS威胁多，但也不是没办法防护。 摸鱼。 只要做好以下几点，能大大降低被攻击的风险。 1. 选靠谱的DNS服务商，改强密码！ 注册域名一定要选大服务商， 比如阿里云、腾讯云、GoDaddy这些，他们的平安防护比较强，不容易被黑客攻击。而且一定要改强密码！别用“123456”“password”这种弱密码， 最好用大小写字母+数字+符号的组合，比如“Aa1!@bb2#”，定期换密码，开启双重验证，这样就算密码被偷，黑客也登录不了你的账户。 2. 开启“域名锁定”，防止被转移！ 很多域名服务商都有“域名锁定”功能， 开了之后别人就不能随便修改你的域名信息，也不能转移域名。这个功能一定要开！相当于给你的域名上了把锁，黑客就算拿到密码，也动不了你的域名。我朋友就是主要原因是没开锁定，域名才被轻易转走的，血的教训啊！ 3. 定期检查DNS解析，别信“中奖短信”！ 经常去域名服务商后台看看，你的DNS解析记录是不是正常的。比如你网站的IP是“1.2.3.4”，突然变成“9.9.9.9”，那肯定是被攻击了赶紧改回来。还有，收到“中奖”“积分兑换”这种短信，千万别点链接！很可能是钓鱼链接，一点进去，你的DNS就可能被篡改。访问网站的时候， 尽量手动输入域名，别乱点短信、邮件里的链接，特别是银行、支付网站，一定要看清楚是不是“https”开头的，有没有锁标志。 4. 用平安的DNS服务器，关掉路由器远程管理！ 个人用户可以换平安的公共DNS， 比如114.114.114.114、223.5.5.5、8.8.8.8，这些DNS防护能力强，不容易被劫持。企业用户最好自己搭建私有DNS服务器，开启加密解析，这样更平安。还有，路由器一定要改密码！别用默认密码，黑客拿到路由器密码，就能篡改你整个网络的DNS，所有设备都会被坑。路由器的“远程管理”功能最好关掉，别让外面的人能控制你的路由器。 5. 装杀毒软件，别乱下东西！ 电脑和手机一定要装正规的杀毒软件，及时更新病毒库，能拦截很多木马和钓鱼网站。别乱下载不明软件，特别是“破解版”“绿色版”，里面可能全是木马。公共WiFi环境下 别登录银行、支付账户，最好用VPN加密一下防止黑客在WiFi里截获你的DNS请求。 DNS平安不是小事，一定要重视！ 说了这么多，其实就一句话：DNS平安很重要，特别是域名劫持，一旦中招，后果很严重！不管是企业还是个人，都不能掉以轻心。选靠谱的服务商、 改强密码、开锁定、定期检查、用平安DNS、装杀毒软件，这些措施虽然简单，但能帮你挡住90%的攻击。记住网络平安就像“防火防盗”，平时多注意，才能避免损失。别等域名被偷了、网站瘫痪了才想起后悔，那时候就晚了！所以啊，赶紧看看你的DNS设置对不对，域名平安没保障，上网就像“裸奔”，随时可能被黑客盯上，你猜怎么着？！