DNS网站跳转流量劫持技术研究与教学

什么是DNS网站流量劫持？

DNS网站流量跳转劫持技术是一种使用恶意软件或木马程序，它会在未经用户许可的情况下修改 Web 浏览器设置，并将用户重定向到用户不打算访问的网站。它通常被称为浏览器重定向病毒，因为它将浏览器重定向到其他通常是恶意的网站。

浏览器劫持者的部分目的是帮助网络犯罪分子产生欺诈性广告收入。例如，浏览器将受害者的主页重定向到劫持者的搜索页面。接下来，劫持者将受害者的网络搜索重定向到劫持者希望受害者看到的链接，而不是合法的搜索引擎结果。当用户点击搜索结果时，劫机者就会得到报酬。网络犯罪分子还可以出于营销目的将有关受害者浏览习惯的信息出售给第三方。

浏览器劫持者可能包含间谍软件，使攻击者能够获取用户的银行信息、信用卡号码或其他敏感数据。浏览器劫持者还可能安装勒索软件，这是一种对受害者系统上的数据进行加密的恶意软件，将其扣为人质，直到受害者向劫持者支付一笔钱才能解锁。

浏览器劫持是如何运作的？

浏览器劫持者可以通过恶意电子邮件附件、下载受感染的文件或访问受感染的网站来感染设备。浏览器劫持软件可以与浏览器扩展捆绑在一起，也可以作为软件的一部分。浏览器劫持者也可能源自共享软件、免费软件、广告软件和间谍软件感染。

浏览器劫持者很可能会被用户无意中下载。用户可能会被诱骗同意额外下载安装软件的条款和条件。受害者也可能在被提供拒绝安装浏览器劫持软件的选项后被愚弄，但查询的措辞故意让用户感到困惑，从而下载该软件。一旦用户安装，软件中嵌入的恶意代码就会开始改变用户浏览器的活动。

浏览器劫持的目标浏览器设置因劫持者及其目标而异。一些劫持可能只进行很小的更改——例如添加一个新的不需要的工具栏。这些变化往往比危险更烦人。但更危险的劫持可能以域名系统 ( DNS ) 为目标，将用户重定向到危险网站，可能会窃取他们的密码和用户凭据。

浏览器劫持的影响是什么？

了解浏览器劫持的影响是什么可以帮助用户确定他们是否被劫持。它们如下：

• 对网络浏览主页所做的更改，包括对搜索引擎首选项的修改或添加不需要的工具栏；
• 弹出式广告的大量增加会降低计算机的速度；
• 网络浏览器被重定向到危险网站；
• 未经授权的软件被迫进入浏览器或浏览器的工具栏；和
• 在浏览器之外进行的修改——可以对注册表项进行更改以保留在受感染的系统上，然后该软件可用于监视用户、访问帐户或收集数据。

你怎么知道你是否有浏览器劫持者？

感染浏览器劫持者的系统可能会显示一些明显的感染迹象。用户应注意是否遇到：

• 被重定向到其他网站的搜索；
• 多个弹出广告；
• 网页加载缓慢；
• 他们的搜索引擎已被替换；或者
• 一个或多个未经授权的工具栏出现在他们的互联网浏览器上。

然而，被劫持的设备可能并不总是显示出感染迹象。浏览器劫持者意在不被注意，可能会尝试监视用户的活动并收集数据。

你如何删除浏览器劫持者？

根据具体情况，移除浏览器劫持者可能相对简单。采取的不同行动包括：

• 使用专门用于删除间谍软件的程序，例如防病毒软件或反恶意软件。用户可以扫描并删除不需要的工具栏。
• 自动化工具可以自动删除与浏览器劫持者相关的文件和对注册表的修改。
• 如果浏览器被劫持，清除系统的 DNS缓存也可以消除与恶意程序的连接。
• 使用浏览器设置工具重置浏览器主页。在某些情况下，只需将浏览器设置重置为原始默认设置即可修复攻击。如果没有，可以卸载浏览器，然后重新安装。
• 如果其他选项不起作用，可以手动从设备中删除浏览器劫持者感染。例如，在 Windows 10 系统上，可以使用Windows 控制面板中的卸载程序删除浏览器劫持程序。

如何防止浏览器劫持？

有几种方法可以防止浏览器劫持，包括：

• 及时了解操作系统 (OS) 和浏览器补丁。最新的安全功能有助于防止劫持攻击，因为劫持者通常会利用操作系统和浏览器中的已知漏洞。运行软件更新可以帮助关闭这些入口点。
• 避免点击可疑链接。用户不应单击来自未知发件人的电子邮件链接、消息或弹出框。他们可以启动浏览器劫持者的下载。
• 下载软件要小心。一些浏览器劫持软件与合法软件捆绑在一起，因此用户在下载任何软件之前应阅读所有条款和条件以及最终用户许可协议。
• 使用杀毒软件。安装好的防病毒软件并使用最新的补丁更新它有助于抵御浏览器劫持。一些防病毒软件提供实时保护，如果下载的软件试图更改浏览器设置，则会警告用户。某些防病毒软件使用户能够阻止进行这些更改。
• 避免运行可能会在安装时解压软件的免费软件程序。安装前检查软件的下载设置。

介绍

来自 IT 和网络运营中心 (NOC) 的团队必须意识到来自域名系统 (DNS) 的攻击将变得非常普遍。由于业务中断、信息和数据泄露，金融服务、电信、电子商务公司和政府机构将受到复杂 DNS 安全威胁环境的影响最大。

随着劳动力越来越多地转向虚拟化，很少有网络安全专家需要知道 DNS 劫持是一个关键问题，这对保护金融资产和企业信誉至关重要。公司在实施 DNS 监控解决方案以及招聘或培养良好第一道防线所需的人才方面比以往任何时候都投入更多。本文讨论了各种形式的 DNS 劫持攻击、此类攻击的成本和影响，以及企业如何识别和避免可能的 DNS 攻击。 

在本文中，我们将探讨 

1. 什么是 DNS 劫持？
2. 为什么会被劫持 DNS？
3. DNS 劫持的类型
4. DNS 劫持预防

1.什么是DNS劫持？

域名服务器劫持或 DNS 劫持，通常称为 DNS 重定向，是 DNS 劫持攻击的一种形式，它错误地解析 DNS 查询以将用户意外重定向到恶意站点。 

可以使用 DNS 劫持进行域名欺骗（在这种情况下，攻击者通常会展示不需要的广告来产生收入）或网络钓鱼（显示用户访问的网站的虚假版本并窃取数据或凭据）。

许多 Internet 服务提供商 (ISP) 经常使用一种 DNS 劫持来接管客户的 DNS 请求、收集数据并在用户访问未知域时返回广告。DNS 劫持被一些政府用于审查，将用户重定向到政府授权的站点。

2、为什么会被劫持DNS？

出于各种目的，DNS 可能会被黑客攻击。它可能被劫持者用于域名欺骗，即向客户展示广告收入或网络钓鱼，引导用户访问您网站的虚假版本以窃取数据或登录信息。

众所周知，Internet 服务提供商 (ISP) 使用域重定向来监视用户的 DNS 查询以收集用户数据。域劫持用于审查或将用户重定向到其他组织的备用网站。

3. DNS 劫持的类型

• DNS 路由器劫持： DNS 路由器是域服务提供商用来将其对应的 IP 地址与域名对齐的硬件系统。大多数路由器都带有默认密码和大量固件范围的错误。如果他们成功覆盖 DNS 路由器，他们会迅速将流量转移到另一个网站并阻塞公司网站并使其无法访问。
• 中间人的 DNS 劫持：这通常称为 DNS 欺骗。在这种情况下，攻击者瞄准并拦截网站流量与网站 DNS 之间的联系，修改 DNS 设置以将流量定向到恶意 IP 地址。
• 本地 DNS 劫持：在网站用户的计算机上，本地 DNS 攻击会安装恶意软件。这允许所有数据或信息很容易被黑客攻击或检索。
• 流氓 DNS 服务器： DNS 服务器被攻击者破坏，文件被修改，请求被路由到恶意页面。

4. DNS劫持预防

为防止 DNS 劫持，您可以采取多种预防措施来提高 DNS 安全性。在基本缓解步骤中，我们分为三类：

A)防止名称服务器劫持缓解步骤

网络罪犯攻击 DNS 路由器并重新配置它们，以将 Internet 上的流量转移到恶意位置。DNS名称服务器是宝贵的资源，应该有强大的安全措施来防止黑客入侵网站用户并发起攻击。以下是 IT 团队可以采取的详细步骤，以增强您域的名称服务器的安全性。

• 安装您的 DNS 解析器防火墙：每个 DNS 都有解析器，合法的解析器。让 IT 团队将合法的解析器放在防火墙后面以阻止这种情况发生，并关闭所有不需要的 DNS 解析器。
• 增加名称服务器访问限制：您公司内部的入侵者可能是敌人。增加名称服务器访问限制将确保信息或劫持路径不会从防火墙内部打开。
• 避免网站缓存中毒的流行措施包括随机化用户身份、随机化服务器源端口以及在贵公司的域名中同时使用大小写。

• 网络犯罪分子立即利用明显的漏洞发起 DNS 攻击。修复已识别的漏洞。为避免攻击，让 IT 团队检查 DNS 是否存在任何错误并立即对其进行修补。
• DNS 区域中的记录是易受攻击的文件，其中包含经常受到攻击者攻击的数据。避免区域传输。黑客可以伪装成具有从名称的服务器来请求区域传输，这涉及复制服务器区域的记录。避免区域传输以防止此弱点。

B)最终用户缓解措施

DNS 劫持者除了为被劫持的流量投放广告外，还以用户信息和密码为目标。网站用户可以通过经常更改密码、安装和升级防病毒计算机以及使用安全的虚拟专用网络来防止劫持。 

C)网站所有者预防措施

如果您的公司使用域名注册商，您的 IT 团队应采取以下预防措施来防止 DNS 劫持：

• 在访问域名服务器注册商时，DNS 连接可以通过多重身份验证仅限于少数 IT 团队成员。确保安全访问。通过此措施可以显着阻止 DNS 黑客攻击。 
• 客户端锁——一些 DNS 记录器使用客户端锁来增强 DNS 保护。使用 DNSSEC 域名服务提供商。如果 DNSSEC（DNS 安全扩展）由您的 DNS 注册商提供，允许它添加一层安全性，使攻击者难以拦截流量并将其从您的网站重定向到虚假网站。

结论

将域名解析为数字IP地址，从端点到根DNS服务器，对于普通用户和企业来说，漏洞百出，为攻击者提供了可乘之机。攻击者可以通过成功劫持将您公司的 Web 流量重定向到攻击者控制的网络，并使用合法的加密证书完成，并执行中间人攻击。通过修改本地 DNS 设置或对本地主机文件进行投毒，很容易实现对系统的 DNS 攻击。

最近，很明显信息是最强大的武器。因此，该信息的安全性应成为我们的首要任务。作为最受青睐的技能之一，网络安全认证将带来无数机会。