dns劫持

生在中国这片热土，我们做程序开发的人要面临很多的挑战。只要生命不息，挑战就永远不会停止。 比如最近疯传的 35 岁程序员送外卖。这明显点出了在中国搞开发，要面临的其中之一挑战：年龄。 在整个 IT 领域，大多数的开发者都属于普通人。只有极少数部分人能站在技术的尖端引领技术的前进与走向。那么，普通的开发者，又很容易被新人替换。新人更经济实惠，压力小。而老开发人员技术的天花板无法打破的情况下。要面临跟着一群小朋友一起起早贪黑的工作模式。甚至于会出现自己一把年纪，上面的领导比自己还小好多岁的窘境。 肯定有人会说我们这群老人矫情。但是，又有几人能做到内心毫无波澜呢？ 本篇博文主要是针对我们这群普通的开发者处境所写。请允许我在这里贩卖焦虑。 一、系统架构 作为技术这条路线，最终都会偏架构方向。即使做技术经理或总监。都必须对系统架构要有一定的知识储备，以备对团队的架构搭建与变更做出准确的判断。 这里并不是说我们去设计一些千万级别以上 PV 的系统架构。做为普通的开发者，要接触上亿的系统平台相对来说机会并不是很多。即使接触了，也仅仅只是这个平台里面的一个小螺丝。要能主导这个架构的设计，还稍显稚嫩。我再次说明一下，这里仅仅只对普通的开发者。不指那些尖端的高技术人才。 在我的理念当中，千万级别及以下 PV 的构架，通常用不到微服务。所以，不要用微服务来坑自己。加重架构的复杂度。

DNS劫持的两种基本协议 ARP（Address Resolution Protocol）就是地址解析协议，是一种将IP地址转化成物理地址的协议。在局域网中，主机之间的通信地址通过Mac地址，主机A想和主机B进行通信，首先主机A会在本地的ARP缓存列表里面找主机B的Mac地址，如果能找到，则两个主机会直接进行通信。如果没有找到arp缓存，主机A会广播一个报文，这个报文里面有两个内容：一个是主机A的ip，一个是主机A的Mac地址。这个报文会在整个网络中传送，但主机A只想和B连通，所以这个报文的请求地址就是B的ip地址，B发现有主机请求自己，就会回应这个请求，此时，A主机得到B的回应就会发现B所在的Mac地址，然后更新自己的arp缓存，接着使用这个新的Mac地址和B进行通信。 DNS，全称为域名解析协议，是一种将域名解析为ip地址的协议，基于UDP的53端口。访问某网站的ip或域名，会先向dns服务器发送一次dns请求报文，dns服务器经过查询（或递归查询）会将域名以及对应的ip地址以dns响应报文的形式发回给我们，然后我们才可以与所对应的ip建立TCP连接进行网络通信。dns劫持建立在arp欺骗的基础上， 攻击者通过伪装成网关, 劫持受害者的网络请求, 将网络请求拦截到指定的服务器。其基于ARP欺骗， arp欺骗可以监听受害者机器到网关之间的流量，若过滤协议为UDP

DNS 即域名系统（Domain Name Server），其主要用于将域名解析为对应的 IP 地址。 那么为什么会有域名到 IP 地址的解析这一需要呢？就需要从人的角度和计算机的角度去分析了。 人的角度： 网络上的主机一般是通过 IP 地址唯一确定，但 IP 不便于人们记忆，如果每个人都需要通过 IP 来访问其他主机，那记忆量太大了，因此才借用域名来间接地标识一台主机。比如常见的域名有： www.baidu.com， 其 IP 地址为 202.108.22.5。 计算机的角度： 人是方便记忆了，但是计算机的网络通信层（IP 层）只认 IP 地址。人想要访问其他主机必须通过计算机实现，因此光有域名还无法达到目的，于是计算机需要多干一件事，那就是根据人提供的域名去获得相应的 IP。 DNS 的来源上面已经解释了，DNS 劫持是指在劫持的网络范围内（类似于白名单）拦截域名解析的请求，分析请求的域名，把审查范围以外（类似于黑名单）的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。TCP 管发管到，UDP 管发不管到。因此，在安全性方面来说，TCP/IP更具有优越性，DNS 的域名解析基于 UDP 协议实现，极易发生 DNS 劫持。 传统 DNS 解析域名的最大弊端就是易被劫持，直接降低互联网用户的使用体验。比如你想访问 www

本人以网络技术出身，近两年接触CDN网络，处理了一些CDN方面的网络问题，大多数以运营商丢包，延迟抖动为主，也处理一些硬件故障，比如机械硬盘的读写io测试，内存条兼容性测试，服务器IPMI规划等。这篇文章打算把自己对运营商对资源请求的劫持写下来，这个其实不是很罕见的事例，也不是网上找不到解决办法，也不是无法理解的尖钻技术，只是罗列一下自己的所知。 CDN网络访问拓扑 既然提到了CDN网络，那就顺带提一句吧。 废话不多说，先上图。 　　这回可以开始废话了吧？：大体的工作逻辑有用户的访问、localdns的解析、CDN资源调度、资源应答。 如果按照这种方式去运营CDN 架构 ，估计CDN行业早就倒闭了，先不说资源调度的好坏，如果有恶意的攻击流量，整个CDN系统就直接可以GG思密达了。 运营商劫持概述 劫持的目的 其实目的很简单，关于运营商劫持，一般运营商也不是无故做劫持，毕竟他们维护服务器，维护相应设备（比如分光器、分流器）也需要成本，运营商主要劫持出省流量，对于“小”运营商来说他们有省内流量考核，跨省访问会增加成本输出，集团控制出省流量，所以劫持往往发生在省间传输上。其次所有运营商都可能会做劫持，目的是减少省骨干网络链路的负载压力，尽可能的减少中继链路、远距离骨干链路，负载能力弱的链路上的流量，则会出现劫持的现象。 劫持的方法 运营商/或者小区宽带会有分光器设备

众所周知，在国内上网会遇到各种各样不同的人为网络故障，使得我们无法正常访问很多网站。但由于很多人并不熟悉网络，很多时候会无法区分不同的网络故障，导致明明是网络故障，却认为是服务器故障；或明明是服务器故障，却认为是网络故障的情况。我觉得有必要说明一下不同网络故障的特征，以及区分它们并解决它们的方法。 　　在国内上网环境中，我们经常遇到的网络故障有：DNS劫持、DNS污染、IP封锁、服务器防火墙IP过滤、服务器宕机、基于关键词的TCP连接重置、无状态的TCP连接重置、SSL证书过滤、SSL劫持、HTTP会话劫持等网络故障。下面我就依次进行说明： 　　 1、DNS劫持 　　DNS劫持会导致我们访问了一些不存在的或不稳定的网站的时候，访问到的却是电信114搜索（详见月光博客《 断网后互联星空的浏览器劫持 》）或访问Google却显示了Baidu的主页（详见月光博客《 Google博客搜索摇身一变成百度 》）。 　　如果需要确认自己是否处在DNS劫持的环境中，我们可以在Windows命令行cmd中使用Windows自带的网络诊断工具nslookup查找一个不存在或不稳定的域名进行一下网络诊断： 　　C:\>nslookup www.SomeRandomDomainName.com 　　Server: ns-pd.online.sh.cn 　　Address: 202.96.209.133 　

1、何为流量劫持 前不久小米等六家互联网公司发表联合声明，呼吁运营商打击流量劫持。流量劫持最直观的表现，就是网页上被插入了一些乱七八糟的广告/弹窗之类的内容或者网址被无辜跳转，多了推广尾巴。比如下面这种： 页面的右下角被插入了广告。 流量劫持总体来说属于中间人攻击（Man-in-the-Middle Attack，MITM）的一种，本质上攻击者在通信两端之间对通信内容进行嗅探和篡改，以达到插入数据和获取关键信息的目的。目前互联网上发生的流量劫持基本是两种手段来实现的: 域名劫持 ：通过劫持掉域名的DNS解析结果，将HTTP请求劫持到特定IP上，使得客户端和攻击者的服务器建立TCP连接，而非和目标服务器直接连接，这样攻击者就可以对内容进行窃取或篡改。在极端的情况下甚至攻击者可能伪造目标网站页面进行钓鱼攻击。 一般而言，用户上网的DNS服务器都是运营商分配的，所以，在这个节点上，运营商可以为所欲为。例如，访问http://jiankang.qq.com/index.html，正常DNS应该返回腾讯的ip，而DNS劫持后，会返回一个运营商的中间服务器ip。访问该服务器会一致性的返回302，让用户浏览器跳转到预处理好的带广告的网页，在该网页中再通过iframe打开用户原来访问的地址。 HTTP劫持/直接流量修改 ：在数据通路上对页面进行固定的内容插入，比如广告弹窗等。在这种情况下

Dns 劫持 Kali 当作攻击者， server2008 r2 当作被攻击者 互 ping 能通 Step1 ：在攻击者的电脑中搭建 web 服务 开启 apache 在 /var/www 下创建 index.html Step2 ：在终端打开 ettercap 的 dns 文件，在 /etc/ettercap/etter.dns 在大约 64 行，在下面添加 PTR 记录 呜呜呜 .*.com A 192.168.91.133(kali ip) www.*.com PTR 192.168.91.133(kali ip) step3 ： kali 终端用 ettercap -G 进入该工具的图形化界面 找到 sniff 选 unified sniffing ，选择网络接口后开始网络主机扫描 查看扫描到的主机情况： 找到 hosts->scan for hosts 开始 点击 host list 查看主机 linux 查看网关 route -n 或者 netstat –rn step4 ：选择网关添加到 target1 ，选择目标 ip 添加到 target2 找到 mitm-> ARP psoioming-> 勾选 sniff remote connections （查取远程连接） Plugins->manage the plugins->dns_spoof, 双击选中

DNS劫持 环境： windows2008R2 被攻击者 kali 攻击者 1、在攻击者电脑中搭建web服务 2、在/var/www/html 写入html文件 index.html <img src="图片的url"> 在终端打开Ettercap的DNS文件 /etc/ettercap/etter.dns 在其中添加欺骗的 A记录 3、在kali终端输入ettercap-G 进入该工具的图形化界面 然后进行网络主机扫描 sniff->unified sniffing->选择网络接口，点击确定 然后查看扫描到的主机情况 Hosts->scan for hosts 点击 Hosts list 查看主机 route -n或netstat -rn 查看网关 必须要找到网关和被欺骗的主机IP 4、选择网关添加到target1，选择目标IP添加到target2 Mitm->ARP posioning->勾选Sniff remote connections 找到 Plugins->Manage the plugins->找到dns-spoof，双击选中 5、在菜单栏中找到start，点击start sniffing，开始进行ARP欺骗以及DNS劫持 6、在攻击者的电脑中访问 www.baidu.com 最终看到的却是一个图片页面 7、被攻击端关闭指令：ipconfig/flushdns 来源：

　　应对方法 　　1、手动修改DNS 　　（1）填写您路由器的用户名和密码，点击"确定" 　　（2）在"DHCP服务器-DHCP"服务中，填写主DNS服务器为更可靠的114.114.114.114地址，备用DNS服务器为8.8.8.8，点击保存即可。 　　DNS劫持问题越早发现越好，那如何可以在第一时间发现呢？ 　　IIS7网站监控 　　检测网站是否被劫持、域名是否被墙、DNS污染等信息。 　　2、修改路由器密码 　　（1）填写您路由器的用户名和密码，路由器初始用户名为admin，密码也是admin，如果您修改过，则填写修改后的用户名和密码，点击"确定" 　　（2）填写正确后，会进入路由器密码修改页面，在系统工具--修改登录口令页面即可完成修改(原用户名和口令和2中填写的一致) 　　3、预防DNS劫持 　　（1）互联网公司准备两个以上的域名，一旦进行DNS劫持，用户还可以访问另一个域名。 　　（2）互联网应该对应急预案进行进一步修正，强化对域名服务商的协调流程。 　　（3）域名注册商和代理机构特定时期可能成为集中目标，需要加以防范。 　　（4）国内有关机构之间应该快速建立与境外有关机构的协调和沟通，协助国内企业实现对此事件的快速及时的处理。 来源： https://www.cnblogs.com/goodcola/p/11547458.html

　　如何知道自己的网站是否出现劫持的问题。 　　IIS7网站监控 　　检测网站是否被劫持、DNS污染检测、网站打开速度检测等信息。 　　比较常见的，DNS劫持（域名劫持）。DNS域名解析是把你平时输入的好记的网址翻译成一个ip地址的过程，你上网易会在浏览器地址栏里输入：***，但其实后台会给翻译成一个数字形式，比如213.234.1.XXX之类的。 　　有可能你中了***或者恶意代码之后，在翻译的过程中扰乱你的电脑，翻译成另一串数字，让你上他想让你上的网页。 　　有点类似于你去医院挂个号，结果给你挂到路对面小诊所去了。最大规模被域名劫持祸害过的其实就是某度了，2010年域名被伊朗网军劫持过，整整八个小时用户上不去百度，是百度成立以来最严重的服务器故障，据说直接损失直接超过700万，间接损失更多。 　　当时也是一边紧急启动备用登陆进行恢复，一边痛骂劫持方。 　　所以对于劫持问题，真正可怕的是，如果他劫持你的网络银行呢？你办理网上银行，结果被劫持到坏人做的一个一模一样的假网站上，你浑然不觉地输入了账号密码，结果把密码都输入到人家网站去了，怕不怕？ 来源： https://www.cnblogs.com/goodcola/p/11541734.html