什么是 DNS 劫持重定向攻击

域名服务器 ( DNS ) 劫持，也称为 DNS 重定向，是一种 DNS 攻击，其中 DNS 查询被错误解析，以便将用户意外重定向到恶意站点。为了执行攻击，犯罪者要么在用户计算机上安装恶意软件、接管路由器，要么拦截或破解 DNS 通信。

DNS 劫持可用于 欺骗 (在这种情况下，攻击者通常会显示不需要的广告以产生收入)或用于 网络钓鱼 (显示用户访问的站点的虚假版本并窃取数据或凭据)。

许多 Internet 服务提供商 (ISP) 还使用一种 DNS 劫持，以在用户访问未知域时接管用户的 DNS 请求、收集统计信息并返回广告。一些政府使用 DNS 劫持进行审查，将用户重定向到政府授权的站点。

DNS劫持攻击类型

DNS 重定向有四种基本类型：

DNS劫持和重定向示例

重定向与 DNS 欺骗攻击

DNS 欺骗 是一种将流量从合法网站(例如 www.google.com)重定向到恶意网站(例如 google.attacker.com)的攻击。 DNS 欺骗 可以通过 DNS 重定向来实现。例如，攻击者可以破坏 DNS 服务器，并通过这种方式“欺骗”合法网站并将用户重定向到恶意网站。

缓存中毒 是实现 DNS 欺骗的另一种方法，不依赖于 DNS 劫持(物理上接管 DNS 设置)。DNS 服务器、路由器和计算机缓存 DNS 记录。攻击者可以通过插入伪造的 DNS 条目来“毒化”DNS 缓存，其中包含相同域名的替代 IP 目标。 DNS 服务器将域解析为欺骗网站，直到刷新缓存。

缓解方法

名称服务器和解析器的缓解措施

DNS 名称服务器是高度敏感的基础设施，需要强大的安全措施，因为它可以被黑客劫持并用于 对他人进行 DDoS 攻击：

最终用户的缓解措施

最终用户可以通过更改路由器密码、安装防病毒软件和使用加密的 VPN 通道来保护自己免受 DNS 劫持。如果用户的 ISP 劫持了他们的 DNS，他们可以使用免费的替代 DNS 服务，例如 Google Public DNS、Google DNS over HTTPS 和 Cisco OpenDNS。

网站所有者的缓解措施

使用域名注册商的网站所有者可以采取措施避免 DNS 对其 DNS 记录的重定向：

以上就是什么是 DNS 劫持/重定向攻击的全部内容。

ME60构造dns包实现错误域名重定向有以下几种检测步骤。

1、ubuntu机器上安装dnsmasqsudoapt-getinstalldnsmasq；

2、配置dnsmasq.conf文件no-resolv#dnsmasq将不在解析/etc/resolv.conf文件address=/weather.sophia.com/192.168.0.2listen_address=0.0.0.0#bind_interfaces#；

3、启动dnsmasq服务两种方式sudoservicednsmasqreload/restart/start/stop/etc/init.d/dnsmasqstart；

4、checkdnsmasq是否正确nslookupweather.sophia.com10.3.16.46看weather.sophia.com的Address是否为192.168.0.2若不是，则刷新dns缓存sudo/etc/init.d/dns-clean

若要将aaa.domain.com指向www.domain.com，则只需在DNS服务中应增加一个别名记录，可写成：aaa IN CNAME www.domain.com。

如需配置大量的虚拟域名，则可写成：* IN CNAME www.domain.com.

这样就可将所有未设置的以domain.com结尾的记录全部重定向到www.domain.com上。

6.用ASP/PHP实现301重定向：

代码在上面已经介绍过了 对于Business.com所遭遇的问题Dan Thies深有体会，因为他也有过类似的遭遇。他的网站上有一个会员跟踪脚本，其中一个会员的站点通过302命令映射到这个跟踪脚本，而这个跟踪脚本又是通过302映射到他的主页。当在Google中用“keyword research”进行搜索，他的主页排名在前十位，然而地址显示的却是那个会员的网址。结果使他哭笑不得：访问者通过Google搜索结果进入他的网站，而他却不得不为这些访问量给那个会员支付报酬! 后来他用robots.txt文件禁止Spiders跟踪访问他的会员跟踪脚本才算解决了问题。

对于Business.com，Dan Thies认为：“目前Google在302重定向的处理上还存在一定的问题，但并不表示Google不允许302重定向。Business.com并未遭封或遭到惩罚，它们只是返回了错误的响应。”

Dan Thies建议：如果使用了跟踪URL/脚本，又必须让访问者重定向到某一着陆页，那么一定要在robots.txt文件中禁止Spiders去访问第二个重定向。如果没有对跟踪URL/脚本进行重定向，而只是把另外一个URL上的内容给复制过来，那么应在robots.txt文件中禁止Spiders去访问跟踪URL，以防因内容重复而遭搜索引擎惩罚。

---