dns劫持

https://cloud.tencent.com/developer/article/1367850 本文引用了腾讯工程师廖伟健发表于“鹅厂网事”公众号上的《【鹅厂网事】全局精确流量调度新思路-HttpDNS服务详解》一文部分内容，感谢原作者的分享。 1、引言 对于互联网，域名是访问的第一跳，而这一跳很多时候会“失足”（尤其是移动端网络），导致访问错误内容、失败连接等，让用户在互联网上畅游的爽快瞬间消失。 而对于这关键的第一跳，包括鹅厂在内的国内互联网大厂，都在持续深入地研究和思考对策，本文将就鹅厂团队在这一块的技术实践，做一个深度的总结和技术分享，希望给大家带来些许启发。 学习交流： - 即时通讯/推送技术开发交流4群： 101279154 [推荐] - 移动端IM开发入门文章：《 新手入门一篇就够：从零开发移动端IM 》 （本文同步发布于： http://www.52im.net/thread-2121-1-1.html ） 2、相关文章 《 网络编程懒人入门(一)：快速理解网络通信协议（上篇） 》 《 网络编程懒人入门(二)：快速理解网络通信协议（下篇） 》 《 网络编程懒人入门(六)：史上最通俗的集线器、交换机、路由器功能原理入门 》 《 网络编程懒人入门(七)：深入浅出，全面理解HTTP协议 》 《 网络编程懒人入门(九)：通俗讲解，有了IP地址，为何还要用MAC地址？

　　如何检测自己的网站是否出现劫持的问题。 　　IIS7网站监控 　　检测网站是否被劫持、DNS污染检测、网站打开速度检测等信息。 　　比较常见的，DNS劫持（域名劫持）。DNS域名解析是把你平时输入的好记的网址翻译成一个ip地址的过程，你上网易会在浏览器地址栏里输入：***，但其实后台会给翻译成一个数字形式，比如213.234.1.XXX之类的。 　　有可能你中了木马或者恶意代码之后，在翻译的过程中扰乱你的电脑，翻译成另一串数字，让你上他想让你上的网页。 　　有点类似于你去医院挂个号，结果给你挂到路对面小诊所去了。最大规模被域名劫持祸害过的其实就是某度了，2010年域名被伊朗网军劫持过，整整八个小时用户上不去百度，是百度成立以来最严重的服务器故障，据说直接损失直接超过700万，间接损失更多。 　　当时也是一边紧急启动备用登陆进行恢复，一边痛骂劫持方。 　　所以对于劫持问题，真正可怕的是，如果他劫持你的网络银行呢？你办理网上银行，结果被劫持到坏人做的一个一模一样的假网站上，你浑然不觉地输入了账号密码，结果把密码都输入到人家网站去了，怕不怕？ 来源： https://www.cnblogs.com/xiaokeaia/p/11511793.html

　　当出现DNS劫持的时候，应该用什么样的办法进行检测查询？ 　　IIS7网站监控 　　检测网站是否被劫持、域名是否被墙、DNS污染检测、网站打开速度检测等信息。 　　最近自己的电脑一打开网页全是广告，而且这个广告还是很流氓的那种，直接霸屏，在原网页上面嵌入了一层js广告，必须得点击它才能继续浏览原始网页，非常之流氓。气得我是咬牙切齿，无处诉苦，还有我们经常会发现打开网站莫名其妙的就被跳转到其他网站上去了，后面还带个推广渠道的小尾巴。 　　今天我就以此为导火线，来分析下网站劫持这点猫腻，让你洞悉网络上的各种坑，以便更好的保护自己的钱财隐私不被坏人利用。 　　现如今网上泛到处泛滥着钓鱼网站，页面小广告、电商劫持返利，流氓软件推广等，很多都通过如下手段实现： 　　1.DNS劫持 　　2.中间人劫持 　　DNS劫持 　　DNS劫持一般用作钓鱼网站，诱导用户跳转到劫持人预设的欺骗性网站，假网站会和用户要访问的网站在外观上做的基本一模一样，不细心观察就很容易被骗过去，如果用户警觉性不高，输入相关网站的账号密码，则就会轻而易举的被劫持人获取到用户的个人信息。 　　进行流量的代理劫持后（均为http劫持，https无法劫持)可以做哪些事呢？， 　　1.iframe插入小广告。 　　2.访问某些网站直接302跳转劫持到其他网站。 　　3.各种电商返利劫持。 　　4.劫持任意

　　1. DNS 的基本原理 　　DNS Domain name system 域名系统；互联网通信的基石是IP，但IP很多，也不好记忆，所以我们用域名来代替IP 来让人更容易记忆；那真正通信必须用IP来进行，所以需要把域名解析成IP。 　　IIS7网站监控 　　测网站是否被劫持、域名是否被墙、DNS污染检测等信息。 　　DNS 域名服务是一个树状结构，从一级域名com/net/cn/... 到多级域名，一个域名从自己近的域名进行解析，最终解析到IP 　　负责搭建、维护域名服务器的是运营商，尤其是一些小运行商的域名服务器不是很稳定，有时会出现域名劫持。 　　2. 域名劫持 　　域名服务器上保持着所有的域名--IP 的记录，当域名服务器收到查询请求后，会在缓存、数据库中查询对应的记录，然后把结果数据返回给客户端； 　　如果有人(hacker) 恶意修改了记录的内容，让域名解析到了错误的IP 地址，这时域名就解析到了错误的IP(有可能是竞争对手的网页)，这就是域名劫持. 　　3. 域名污染 　　用户客户端的电脑发送给DNS 服务器查询域名，再DNS服务器查询到数据返回给用户之间有一段时间延迟，如果hacker 利用这段时间伪造了一个dns 结果数据返回给用户， 　　那用户获取的解析也是错误的，这叫做域名污染 　　4. GFW 进行”合法“域名污染 　　GFW 叫防火长城

　　如何知道自己的网站是否出现劫持的问题。 　　IIS7网站监控 　　检测网站是否被劫持、域名是否被墙、DNS污染检测、网站打开速度检测等信息。 　　比较常见的，DNS劫持（域名劫持）。DNS域名解析是把你平时输入的好记的网址翻译成一个ip地址的过程，你上网易会在浏览器地址栏里输入：***，但其实后台会给翻译成一个数字形式，比如213.234.1.XXX之类的。 　　有可能你中了***或者恶意代码之后，在翻译的过程中扰乱你的电脑，翻译成另一串数字，让你上他想让你上的网页。 　　有点类似于你去医院挂个号，结果给你挂到路对面小诊所去了。最大规模被域名劫持祸害过的其实就是某度了，2010年域名被伊朗网军劫持过，整整八个小时用户上不去百度，是百度成立以来最严重的服务器故障，据说直接损失直接超过700万，间接损失更多。 　　当时也是一边紧急启动备用登陆进行恢复，一边痛骂劫持方。 　　所以对于劫持问题，真正可怕的是，如果他劫持你的网络银行呢？你办理网上银行，结果被劫持到坏人做的一个一模一样的假网站上，你浑然不觉地输入了账号密码，结果把密码都输入到人家网站去了，怕不怕？ 来源： https://blog.51cto.com/14498873/2432667

　　首先说什么是DNS劫持 　　DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。运营商DNS劫持 　　再看看DNS劫持怎么检测 　　通过iis7网站监控，输入自己的域名，就可以立马看到自己的网站是不是被劫持了，并且查询结果都是实时的，可以利用查询结果来更好的优化我们的网站。 　　用户在接入网络运营商（联通、电信等）网络时，一般都默认获取运营商自动下发的DNS服务器地址，这样当用户在浏览器里面输错域名，或者访问不存在的域名时，甚至访问某些明明存在且没有不和谐的内容的网站时，运营商的DNS会把用户引导到类似号码百事通，黄页，广告页之类的页面，这种页面都是运营商维护的，成为运营商免费的广告页，可以分得一部分用户流量。比如我用手机上网，经常点击链接之后就莫名其妙的被转接到运营商的黄页上，极度厌恶这种行为。 　　注意：此方法只针对WIFI环境下的手机用户。 　　第一步:打开手机设置！ 　　第二步：点击WIFI！ 　　第三步：长按已经连接的WIFI网络！ 　　第四步：点击网络设置管理！ 　　第五步：DHCP，改为静态！ 　　第六步：DNS1为首选DNS，DNS2为备用DNS，输入完以后点击确定即可! 来源： https://blog

　　DNS劫持如何检测出来？ 　　用过IIS7网站监控，可以检测劫持，输入自己的域名，点击测试，结果就会告诉你，你所查询的目标有没有被劫持了。 　　什么是DNS劫持 　　DNS劫持又称域名劫持,是指通过某些手段取得某域名的解析控制权，修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址。 　　如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS劫持的基本原理。 　　DNS劫持其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。 　　DNS劫持危害 　　钓鱼诈骗 　　网上购物,网上支付有可能会被恶意指向别的网站，更加加大了个人账户泄密的风险。 　　网站内出现恶意广告 　　轻则影响网速，重则不能上网 　　DNS劫持方法 　　1、利用DNS服务器进行DDOS攻击 　　正常的DNS服务器递归查询过程可能被利用成DDOS攻击。假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。 　

　　如何判定是DNS劫持还是HTTP劫持？ 　　先使用II S7网站监控 对问题目标进行检查，可以通过这个办法实时的确定自己的问题，然后再针对性的解决。 　　从个人遭受DNS和HTTP劫持情况来看，DNS劫持多倾向展示广告（网页出现错误后跳转某些网页，如带有运营商名号的114，189等网页），恶意插入产品的推广，如针对特定设备的推广，apple设备的app推广，某些开发者利用了apple开发者协议这个口子进行的恶意app推广。 　　本人的这次DNS劫持的手段相当恶略，其在劫持的网页中注入了恶意脚本木马。（在PC端修改UA访问该网站，Bitdefender不断的拦截到恶意脚本） 　　强行推送广告（非原网页的广告） 　　DNS劫持倾向于持续性，访问被劫持的网站时，会不停的出现其恶意广告。 　　HTTP劫持，这种劫持也是最为麻烦，其常见的现象为针对大流量网站的加小尾巴行为 　　HTTP的劫持出现的频率多变，针对不同的ip也会不同(断网之后再连接，也许劫持就暂时消失），一定程度会造成错误的假象，用户可能会忽视该问题，由于其劫持过程非常快，只是经过某个IP后就快速的跳转，用户如果不注意地址栏的变化，根本不会注意到该问题的出现。 　　DNS劫持判断，更改DNS，改成如114DNS，阿里DNS，onedns等，然后访问同样的网页，之后没出现类似的问题，即可判定为DNS劫持，DNS的解决不困难