DNS劫持
DNS劫持是指通过攻击或伪造域名解析服务器(DNS),将目标网站的域名解析为错误的IP地址,从而达到用户无法访问目标网站或有意或恶意要求用户访问指定IP地址(网站)的目的。
一般来说,有三种情况:
路由器被黑了。
DNS服务被入侵。
运营商流量劫持
鉴于运营商之间的沟通有时会失败,本文只讨论前两种情况。
DNS劫持要优先排查主机问题,比如DNS配置有没有问题,本地hosts文件有没有被篡改,浏览器设置有没有被更改。前两种情况可以直接查看,浏览器设置可以直接用360、tinder等软件扫描修复。
路由器入侵导致的DNS劫持应该是最常见的场景。由于有些路由器可能会将管理端口映射到外网,可能会存在弱口令和RCE的问题,所以在遇到DNS劫持时,应该先更换路由器设备(目前必须换一个不同的样式),然后检查情况是否解决。如果问题解决,分析原路由的密码和后门的RCE漏洞,并出具相关报告。
如果问题仍未解决,考虑DNS服务器是否被入侵。
登录DNS服务器,查看DNS配置是否有问题。如果发现被恶意更改,确认事件是由于DNS服务器的入侵引起的,需要使用软件查杀进行病毒查杀扫描。请参考上一篇文章中的主机处理流程。
标签:DNS问题服务器