什么是 DNS 劫持？

问题

DNS 劫持是如何发生的？有哪些常见的攻击方式？会对网站和用户造成什么影响？

解答

DNS 工作原理

DNS（Domain Name System）是域名系统，以分布式数据库的形式将域名和 IP 地址相互映射。正常的 DNS 解析流程如下：

1. 用户主机运行 DNS 客户端
2. 浏览器从 URL 中提取域名（如 www.aliyun.com），传送给 DNS 客户端
3. DNS 客户端向 DNS 服务器发送查询报文，包含要访问的主机名
4. DNS 客户端收到回答报文，获得对应的 IP 地址
5. 浏览器向该 IP 地址的 HTTP 服务器发起 TCP 连接

由于 DNS 解析需要第三方服务器参与，这个过程就可能被劫持。黑客可以篡改 DNS 缓存，将目标网站的 IP 替换成恶意网站的 IP，用户在不知情的情况下访问了钓鱼网站。

常见 DNS 劫持手段

1. 利用 DNS 服务器进行 DDoS 攻击

黑客利用 DNS 服务器的递归查询机制，使用被攻击机器的 IP 作为源地址发送大量解析请求。DNS 服务器会将响应信息发送给被攻击者，形成 DDoS 攻击。

2. DNS 缓存感染

黑客通过 DNS 请求将恶意数据注入有漏洞的 DNS 服务器缓存。当用户访问正常域名时，会被引导到挂马、钓鱼页面，或被窃取账号密码等敏感信息。

3. DNS 信息劫持

黑客监听客户端和 DNS 服务器的通信，获取 DNS 查询 ID。在 DNS 服务器响应之前，黑客抢先返回虚假的 IP 地址，将用户引导到恶意网站。

4. ARP 欺骗

通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，在局域网中造成网络阻塞或中间人攻击。黑客持续发送伪造的 ARP 响应包，篡改目标主机的 ARP 缓存，截获通信信息或造成访问错误指向。

DNS 劫持的危害

对用户的影响：

• 钓鱼诈骗：网上购物、支付被指向恶意网站，账户信息泄露
• 恶意广告：网站内出现大量垃圾广告
• 网络故障：影响网速，严重时无法上网

对业务的影响：

• 用户流失：通过书签或域名访问的用户无法打开网站，更换域名难以及时通知
• SEO 受损：搜索引擎蜘蛛抓取不到正确 IP，网站可能被搜索引擎降权或封禁
• APP 服务中断：用于 APP 调度的域名被劫持会导致应用无法访问，更换域名需要重新审核上架，造成服务空窗期

2009 年巴西最大银行 Banco Bradesco 遭遇 DNS 劫持，近 1% 客户账户被盗，就是典型案例。黑客利用路由器漏洞篡改用户 DNS，通过精心设计的恶意代码躲过安全软件检测，造成大规模钓鱼诈骗。

关键点

• DNS 将域名解析为 IP 地址，解析过程依赖第三方服务器，存在被劫持的风险
• 常见攻击手段包括 DDoS 攻击、缓存感染、信息劫持和 ARP 欺骗
• DNS 劫持会导致用户访问钓鱼网站，造成账户信息泄露和财产损失
• 对业务的影响包括用户流失、SEO 受损、APP 服务中断等
• DNS 劫持不仅影响用户体验，更威胁用户资产安全和数据安全