Entry № 375
DNS 劫持
DNS 劫持 是什么?
DNS 劫持通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
DNS 劫持是一类破坏用户与目标服务之间 DNS 路径的技术。它可能发生在端点(恶意软件修改 DNS 设置或 hosts 文件)、家庭或企业路由器(被攻陷的 CPE)、递归解析器(缓存被污染或遭中间人攻击),或权威 DNS 提供商(账号被攻破、凭据被盗、注册商被滥用)等多个层面。一旦 DNS 被劫持,攻击者就能拦截邮件、为被劫持的名称签发 TLS 证书、对合法域名实施钓鱼,或为其他入侵铺路 —— DNSpionage、Sea Turtle 等行动便是典型案例。缓解措施包括启用 DNSSEC、注册局/注册商 Lock、CAA 记录、监测 DNS 记录与证书透明度日志、对 DNS 提供商账户启用 MFA,以及使用可信、经验证的递归解析器(DoH/DoT)。
● 示例
- 01
攻击者攻陷注册商账号,将受害者的 NS 记录改为自有 DNS,随后申请 TLS 证书冒充原站点。
- 02
路由器恶意软件悄悄把家中所有设备指向恶意解析器,将银行域名重定向到钓鱼服务器。
● 常见问题
DNS 劫持 是什么?
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。 它属于网络安全的 攻击与威胁 分类。
DNS 劫持 是什么意思?
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
如何防御 DNS 劫持?
针对 DNS 劫持 的防御通常结合技术控制与运营实践,详见上方完整定义。