什么是 DNS 劫持？

问题

DNS 劫持是如何发生的？有哪些常见的攻击方式？会对网站和用户造成什么影响？

解答

DNS 工作原理

DNS（Domain Name System）是域名系统，将域名和 IP 地址相互映射。正常的 DNS 解析流程如下：

1. 用户在浏览器输入网址，如 http://www.aliyun.com/
2. 浏览器提取域名，传送给 DNS 客户端
3. DNS 客户端向 DNS 服务器发送查询报文
4. DNS 服务器返回对应的 IP 地址
5. 浏览器向该 IP 地址发起 TCP 连接

由于 DNS 解析需要经过第三方服务器，这个过程就可能被劫持。黑客可以篡改 DNS 缓存，将目标网站的 IP 替换成恶意网站的 IP，用户在不知情的情况下访问了钓鱼网站。

常见攻击手段

1. 利用 DNS 服务器进行 DDoS 攻击

黑客伪造被攻击者的 IP 地址作为源地址，向 DNS 服务器发送大量解析请求。DNS 服务器会将响应发送给被攻击者，形成 DDoS 攻击。

2. DNS 缓存感染

黑客向有漏洞的 DNS 服务器注入恶意数据，污染其缓存。当用户查询域名时，会得到被篡改的 IP 地址，被引导到钓鱼网站或挂马页面。

3. DNS 信息劫持

黑客监听客户端和 DNS 服务器的通信，获取 DNS 查询 ID。在真实的 DNS 服务器响应之前，黑客抢先返回伪造的 IP 地址，将用户引导到恶意网站。

4. ARP 欺骗

通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，主要发生在局域网中。黑客持续发送伪造的 ARP 响应包，篡改目标主机的 ARP 缓存，造成网络中断或中间人攻击。

危害影响

对用户的危害：

• 钓鱼诈骗：网上支付可能被指向恶意网站，导致账户信息泄露
• 恶意广告：网站内出现大量广告
• 网络故障：影响网速甚至无法上网

对业务的影响：

• 用户流失：习惯通过书签或域名访问的用户无法打开网站
• SEO 受损：搜索引擎无法抓取正确 IP，网站可能被降权或封禁
• APP 服务中断：如果域名用于 APP 调度，劫持会导致 APP 无法访问，更换域名需要重新审核上架

2009 年巴西最大银行 Banco Bradesco 遭遇 DNS 劫持，近 1% 客户账户被盗，就是典型案例。黑客利用路由器漏洞篡改用户 DNS，制作仿真度极高的钓鱼页面，成功躲过安全软件检测。

关键点

• DNS 劫持通过篡改域名解析结果，将用户引导到恶意网站
• 常见攻击方式包括 DDoS 攻击、缓存感染、信息劫持和 ARP 欺骗
• 对用户造成账户泄露、财产损失等风险
• 对业务造成用户流失、SEO 受损、服务中断等影响
• DNS 解析依赖第三方服务器，只要经过第三方就存在被劫持的风险