器 DNS 劫持检测可通过网络抓包、比对 DNS 查询与响应,或
路由器DNS劫持检测
DNS劫持的概念与危害
(一)概念
- 正常DNS解析:用户访问网站或APP时,设备向DNS服务器发送请求,DNS服务器返回正确的IP地址,用户设备与目标服务器建立连接并访问网站,当在浏览器中输入www.baidu.com时,DNS服务器会将其解析为对应的百度服务器的IP地址,如115.239.210.27等,从而让用户能够访问百度首页。
- DNS劫持原理:在DNS劫持攻击中,恶意DNS服务器会对用户的DNS请求进行干扰,返回错误的IP地址,用户本要访问A网站,但被劫持后,可能会被导向一个伪造的A网站,或者根本无法访问目标网站。
(二)危害
- 网络访问异常:可能导致大量域名无法正常解析,出现网页无法打开、加载缓慢或者跳转到错误页面等情况,用户想要打开淘宝购物,却被劫持到其他不明网站。
- 隐私泄露风险:黑客可以通过劫持路由器DNS,监控全网用户的上网情况,窃取用户各种账号信息,如网游、微博、QQ、淘宝、网银等的账号密码,威胁用户的财产和个人信息安全。
- 广告骚扰:不断在用户电脑中放置弹窗广告,即使使用杀毒软件也难以彻底清除,影响用户的上网体验。
常见DNS劫持特征及检测方法
(一)可疑DNS IP检测
- 典型可疑主DNS IP列表:以下是一些常见的可疑主DNS IP(包括但不限于),如果路由器的主DNS配置被修改为这些IP,且辅DNS被改为1.1.1.1,基本可以确定家用路由器DNS被劫持篡改。
| 序号 | 可疑主DNS IP |
|---|---|
| 1 | 9.187.125 |
| 2 | 140.21.95 |
| 3 | 37.71.80 |
| 4 | 102.126.197 |
| 5 | 31.55.110 |
| 6 | 109.22.11 |
| 7 | 113.115.236 |
| 8 | 109.47.151 |
| 9 | 108.228.50 |
| 10 | 106.3.116 |
| 11 | 103.220.247 |
| 12 | 196.219.223 |
| 13 | 43.166.60 |
| 14 | 15.3.137 |
- 检测步骤:登录路由器管理界面(通常在浏览器中输入路由器的IP地址,如192.168.1.1,然后输入管理员账号和密码),查看DNS服务器设置中的主DNS和辅DNS地址,对比上述列表进行判断。
(二)域名解析记录TTL检测
- 原理:正常情况下,域名解析记录的TTL(生存时间)值各不相同,但在DNS劫持情况下,域名解析记录TTL可能被统一修改为86400秒(即域名解析记录都会被缓存1天)。
- 检测命令及示例:可以在一台能访问公网的终端(如Mac电脑或者Linux云服务器)中执行以下命令检查(以示例IP 122.9.187.125为例,实际检测时需替换为自家路由器的DNS服务器IP地址):
dig @122.9.187.125 dnspod.cn如果返回结果中TTL值为86400秒,则可能存在DNS劫持嫌疑。
(三)域名解析记录类型检测
- 原理:在DNS劫持环境下,间歇性存在大量域名无法正常解析的问题,返回NXDOMAIN(表示域名不存在)和错误的SOA(起始授权机构)记录,而不是返回正常的A记录(用于将域名解析为IP地址)或者CNAME记录(用于将域名解析为另一个域名)。
- 检测命令及示例:可执行以下命令检查(同样以示例IP 122.9.187.125为例,实际检测时需替换为自家路由器的DNS服务器IP地址):
dig @122.9.187.125 test.ip.dnspod.net若返回结果不符合正常解析记录类型,则可能遭遇DNS劫持。
(四)DNS版本检测
- 原理:某些DNS劫持情况下,DNS版本可能被修改为特定版本,如unbound 1.16.2。
- 检测命令及示例:可执行以下命令检查(以示例IP 122.9.187.125为例,实际检测时需替换为自家路由器的DNS服务器IP地址):
dig @122.9.187.125 version.bind chaos txt如果返回的DNS版本与正常情况不符,可能是DNS被劫持的信号。
修复与预防措施
(一)修复方法
- 修改DNS设置:如果确认路由器DNS被劫持,进入路由器管理界面,将DNS服务器地址修改为可靠的公共DNS或运营商提供的DNS地址。
- 首选DNS推荐:119.29.29.29(腾讯DNS)、223.5.5.5(阿里DNS)等。
- 备用DNS推荐:180.76.76.76(百度DNS)、114.114.114.114(114DNS)、8.8.8.8(谷歌DNS)、1.1.1.1(CloudFlare DNS)等。
- 重启路由器:保存DNS设置后,重启路由器,使新的设置生效。
(二)预防措施
- 升级路由器固件:定期检查路由器固件版本,及时更新到最新版本,修复可能存在的安全漏洞,增强路由器的安全性。
- 修改管理员密码:将路由器的默认管理员密码修改为复杂的字母数字组合,防止被黑客轻易破解。
- 定期检查DNS设置:每隔一段时间(如一两个月),检查路由器的DNS设置是否被篡改,确保网络安全。
- 使用运营商DNS:如果不想做过多的设置,可以直接使用宽带运营商提供的DNS地址,其稳定性和安全性相对较高。
相关问题与解答
(一)问题
如何判断我的路由器是否已经被DNS劫持?
(二)解答
可以通过以下几种方法综合判断:首先检查路由器的DNS服务器地址是否被修改为可疑IP(参考上述可疑主DNS IP列表),并且辅DNS是否被异常修改;按照上述域名解析记录TTL检测、域名解析记录类型检测和DNS版本检测的方法,在能访问公网的终端上执行相应命令,检查DNS服务器的相关特征是否符合DNS劫持的典型表现,如果发现多个异常情况,那么很可能路由器已经被DNS劫持。
(一)问题
除了修改DNS设置,还有哪些措施可以提高路由器的安全性?
(二)解答
除了修改DNS设置外,还可以采取以下措施提高路由器安全性:一是升级路由器固件,确保路由器的软件系统是最新的,修复已知的安全漏洞;二是修改路由器的管理员密码,设置为复杂的、不易被猜测的密码,防止他人未经授权访问路由器管理界面;三是隐藏无线网络名称(SSID),避免被他人轻易发现和连接;四是启用无线网络加密,如WPA2或更高级别的加密方式,保障无线网络通信的安全;