DNS 劫持有哪些常見(jiàn)方式？站長(cháng)和網(wǎng)民應如何應對？

DNS 系統中有兩種服務(wù)角色：遞歸 DNS 和授權 DNS。授權 DNS 控制網(wǎng)站的解析，遞歸 DNS 只起緩存的作用，所以跟廣大站長(cháng)關(guān)系比較大的是授權 DNS，也就是在域名注冊商處填寫(xiě)的 DNS 地址，而網(wǎng)民使用的則是遞歸 DNS。

DNS劫持分為兩類(lèi)：

針對授權 DNS 的劫持

該種攻擊有兩種方式，第一種是控制域名注冊商處的帳號，例如，幾年前黑客攻擊了某廠(chǎng)商在域名注冊商處的帳號，將 xx.com 的 NS 記錄修改掉，相當于換了授權 DNS。這屬于從源頭上控制了內容，使得所有遞歸 DNS 被污染，所有網(wǎng)民都訪(fǎng)問(wèn)到錯誤的頁(yè)面。此時(shí)用 dig 或 nslookup 等工具檢查，會(huì )發(fā)現所有 DNS 服務(wù)器的內容都是錯誤的。解決該問(wèn)題不僅要將 NS 記錄修改回自己的授權 DNS 服務(wù)器，同時(shí)還需要等待所有遞歸 DNS 緩存過(guò)期，刷新數據之后，才能訪(fǎng)問(wèn)到正確的網(wǎng)站。第二種是入侵授權 DNS 的服務(wù)器，完全掌握授權 DNS，這個(gè)難度比較大。

針對遞歸 DNS 的劫持

由于 DNS 系統采用了不可靠的 UDP 數據包進(jìn)行通信，攻擊者就有機會(huì )假冒授權 DNS 服務(wù)器，使用假的數據欺騙遞歸 DNS。針對遞歸 DNS 的攻擊通常是地域性的，例如，黑客攻擊了某一個(gè)或某幾個(gè)遞歸 DNS 服務(wù)器，只有使用了該遞歸 DNS 的訪(fǎng)問(wèn)受影響，使用 dig 或 nslookup 測試會(huì )發(fā)現某些遞歸 DNS 服務(wù)器結果是錯誤的，而某些是正確的。

對于普通網(wǎng)民來(lái)說(shuō)，建議使用更安全的遞歸 DNS，例如 的公共 DNS 114.114.114.114/114.114.115.115。一般情況下，公共 DNS 被劫持的可能性較小，如果114.114.114.114返回的結果是正確的，就說(shuō)明授權 DNS 服務(wù)是正常的。對于廣大站長(cháng)來(lái)說(shuō)，建議做好在域名注冊商處的賬號安全，并使用技術(shù)實(shí)力強大的供應商提供的授權 DNS 服務(wù)。