今年6月份，美國政府以“違反制裁”爲由關閉了伊朗30多個新聞媒體(tǐ)網站，将目标網站解析轉移到了美國控制的IP上。此次事件中(zhōng)，美國“制裁”伊朗網站所采用的技術手段正是DNS劫持。這次攻擊對伊朗衆多用戶正常訪問和使用網站造成了嚴重影響，并對伊朗政府對外(wài)形象以及伊朗的網絡安全防護能力造成了嚴重危害，由此可見DNS劫持的巨大(dà)威脅。

什麽是DNS劫持？

DNS劫持又(yòu)稱域名劫持，是攻擊者利用缺陷對用戶的DNS進行篡改，将域名由正常IP指向攻擊者控制的IP，從而導緻訪客被劫持到一(yī)個不可達或者假冒的網站，以此達到非法竊取用戶信息或者破壞正常網絡服務的目的。

DNS劫持可用于DNS域欺騙（攻擊者通常目的是爲了顯示不需要的廣告以産生(shēng)收入）或用于網絡釣魚（爲了讓用戶訪問虛網站并竊取用戶的數據和憑據）。互聯網服務提供商(shāng)（ISP）也可能通過DNS劫持，以接管用戶的DNS請求，收集統計數據并在用戶訪問未知(zhī)域名時返回廣告或者屏蔽對特定網站的訪問。

DNS劫持的危害

對用戶：DNS劫持嚴重影響用戶的上網體(tǐ)驗，用戶被劫持到假冒網站進而無法正常訪問目标網站，同時用戶還有可能被誘騙到一(yī)些違法詐騙網站進一(yī)步導緻信息的洩露甚至是對用戶的财産和人身安全造成嚴重威脅。

對域名持有者：對域名持有者而言，遭遇DNS劫持也是件非常嚴重的問題。它會導緻持有者失去(qù)對域名的控制，站點無法被用戶訪問，使域名積累的流量被引導至惡意IP上，給域名持有者造成嚴重的經濟損失，甚至可能由于惡意IP的違法經營，爲域名持有者帶來不必要的法律風險。

DNS劫持的攻擊方式

DNS緩存感染

攻擊者使用DNS請求，将數據放(fàng)入一(yī)個具有漏洞的DNS服務器的緩存當中(zhōng)。這些緩存信息會在用戶進行DNS訪問時返回給用戶，從而将用戶對正常域名的訪問引導到入侵者所設置木馬、釣魚等頁面上。

DNS信息劫持

入侵者通過監聽(tīng)客戶端和DNS服務器的對話(huà)，可以猜測服務器響應給客戶端的DNS查詢ID。每個DNS報文包括一(yī)個相關聯的16位ID号，DNS服務器根據這個ID号獲取請求源位置。攻擊者在DNS服務器之前将虛假的響應交給用戶，就可以欺騙客戶端去(qù)訪問惡意的網站。

DNS重定向

攻擊者如果将權威DNS服務器重定向到惡意DNS服務器，那麽被劫持域名的解析就完全置于攻擊者的控制之下(xià)。

ARP欺騙

ARP攻擊就是通過僞造IP地址和MAC地址實現ARP欺騙，能夠在網絡中(zhōng)産生(shēng)大(dà)量的ARP通信量使網絡阻塞，攻擊者隻要持續不斷地發出僞造的ARP響應包就能更改目标主機ARP緩存中(zhōng)的IP-MAC條目，造成網絡中(zhōng)斷或中(zhōng)間人攻擊。

本機劫持

在計算機系統被木馬或流氓軟件感染後可能會出現部分(fēn)域名的訪問異常，如訪問釣魚站點、無法訪問等情況，本機劫持有hosts文件篡改、本機DNS劫持、SPI鏈注入、BHO插件等方式，雖然并非都通過DNS環節完成，但都會造成無法按照用戶意願獲得正确的地址或者内容的後果。

DNS劫持的應對方式

1.定期的檢查域名的賬戶信息及解析狀态是否存在異常，并對域名對應站點内容進行定期排查，檢查是否出現非本人或本公司設置的頁面。

2.定期修改域名管理系統平台賬号密碼，使用較爲複雜(zá)的密碼組合，并采用與其他平台不同的密碼，避免攻擊者通過遍曆手段獲取賬号密碼，從而進行解析修改操作。

3.定期檢查網站索引和外(wài)部鏈的信息，一(yī)旦發現異常，必須檢查清楚，并針對性予以解決，避免因爲這些索引和外(wài)部鏈導緻自己的網站受到威脅。

4.用戶端配置安全可靠的遞歸解析服務器，網站方設置較小(xiǎo)的TTL值，通過保證遞歸解析緩存正确的方式避免劫持情況發生(shēng)。

5.進行域名鎖定。域名鎖定是應對DNS劫持最有效的手段。在加鎖期間不接受用戶在 DNS 解析上的任何更改，包括對域名服務器的修改，從而從根本上杜絕了攻擊者通過修改DNS記錄達到劫持域名的目的。

6.選擇正規專業的DNS服務商(shāng)，可以獲得性能較爲強大(dà)的域名解析和域名監測服務，及時發現域名異常狀态并快速解決。

7.安裝SSL證書(shū)。SSL證書(shū)具備服務器身份認證功能，可以使DNS 劫持導緻的連接錯誤情況及時被發現和終止，同時 HTTPS 協議可以在數據傳輸中(zhōng)對數據進行加密傳輸，保護數據不被竊取和修改。

DNS劫持是一(yī)種十分(fēn)常見和兇猛的網絡攻擊手段，它不但會影響用戶對網站的正常訪問和使用，同時也會對域名持有者的利益和形象造成嚴重危害，因此網站管理者和運營者一(yī)定要提高警惕，選擇正規專業的域名解析服務商(shāng)，定期檢查域名解析情況，發現問題及時與服務商(shāng)聯系，才能有效應對DNS劫持及其他類型的網絡攻擊形式，保障用戶和域名持有者雙方的利益。