攻击与威胁
DNS 劫持
定义
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
DNS 劫持是一类破坏用户与目标服务之间 DNS 路径的技术。它可能发生在端点(恶意软件修改 DNS 设置或 hosts 文件)、家庭或企业路由器(被攻陷的 CPE)、递归解析器(缓存被污染或遭中间人攻击),或权威 DNS 提供商(账号被攻破、凭据被盗、注册商被滥用)等多个层面。一旦 DNS 被劫持,攻击者就能拦截邮件、为被劫持的名称签发 TLS 证书、对合法域名实施钓鱼,或为其他入侵铺路 —— DNSpionage、Sea Turtle 等行动便是典型案例。缓解措施包括启用 DNSSEC、注册局/注册商 Lock、CAA 记录、监测 DNS 记录与证书透明度日志、对 DNS 提供商账户启用 MFA,以及使用可信、经验证的递归解析器(DoH/DoT)。
示例
- 攻击者攻陷注册商账号,将受害者的 NS 记录改为自有 DNS,随后申请 TLS 证书冒充原站点。
- 路由器恶意软件悄悄把家中所有设备指向恶意解析器,将银行域名重定向到钓鱼服务器。
相关术语
域名劫持
在注册商或注册局层面对已注册域名实施的未授权接管,使攻击者可以将流量、邮件和信任重定向到恶意基础设施。
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
DNS 缓存投毒
向 DNS 递归解析器缓存中插入伪造记录的攻击,使其在 TTL 过期前持续返回攻击者指定的地址。
域名劫持式钓鱼 (Pharming)
通过篡改 DNS、hosts 文件或本地路由,将用户从合法网站静默重定向到恶意站点的攻击,且无需受害者点击任何链接。
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
DNSSEC
一组对 DNS 区域数据进行加密签名的扩展,使解析器能够验证 DNS 响应的真实性与完整性。