DNS是怎么攻击的？

快速回顾DNS是什么？

DNS（域名系统）就像是互联网的“电话簿”或“导航系统”，它负责将我们人类容易记忆的域名（如www.google.com）翻译成计算机用来互相通信的IP地址（如142.251.42.206）。

当你在浏览器中输入一个网址时，你的计算机会向DNS服务器发起查询，询问这个域名对应的IP地址是什么，得到答复后，浏览器才能连接到正确的服务器。

正因为DNS是互联网流量的“交通枢纽”，一旦它被攻击或误导，整个网络连接都会出问题。

DNS攻击的主要类型和原理

攻击者利用DNS协议的设计缺陷、配置错误或网络漏洞，主要发起以下几类攻击：

1. DNS欺骗/缓存投毒 (DNS Spoofing / Cache Poisoning)

这是最经典的一种DNS攻击。

原理 攻击者通过技术手段，向DNS解析器（通常是你的运营商或公共DNS如8.8.8.8的服务器）注入伪造的DNS响应数据，并使其相信这个响应是真实的。

过程

1. 你向DNS服务器查询www.yourbank.com 的IP地址。

2. 攻击者监控网络，发现了这个查询请求。

3. 攻击者赶在真正的官方DNS服务器回应之前，伪造一个假的DNS响应包，声称www.yourbank.com 的IP是192.168.1.100（一个由攻击者控制的服务器IP）。

4. 如果DNS服务器错误地接受了这个伪造的响应，它就会把这个错误的对应关系存入它的缓存中。

5. 此后一段时间内，所有向这个DNS服务器查询www.yourbank.com 的用户，都会被引导到攻击者的假银行网站。

目的 网络钓鱼、窃取账号密码、植入恶意软件等。

2. DNS劫持 (DNS Hijacking)

这种方法更“粗暴”，通常通过恶意软件或网络层攻击实现。

原理 直接修改用户设备或网络路由器的DNS服务器设置，将其指向攻击者控制的恶意DNS服务器。

如何实现

恶意软件 在你电脑上安装的病毒或木马修改了你的网络设置。

路由器漏洞 攻击者利用弱密码或漏洞攻破你的路由器，修改其DNS配置。

中间人攻击 (MitM) 在公共Wi-Fi中，攻击者可以欺骗你的设备，让它以为攻击者的电脑就是网关（路由器），从而劫持所有流量，包括DNS查询。

目的 与DNS欺骗类似，但控制范围更广（所有域名查询都会被恶意DNS服务器处理）。

3. DNS泛洪攻击 (DNS Flood Attack)

这是一种分布式拒绝服务攻击（DDoS），目的是让DNS服务器瘫痪。

原理 攻击者控制大量的“僵尸”计算机（肉鸡），向目标DNS服务器发送海量的、看似合法的DNS查询请求，这些请求的数量远远超过服务器的处理能力。

结果 DNS服务器资源（CPU、内存、带宽）被耗尽，无法再为正常用户提供解析服务，导致所有依赖该DNS服务器的网站和服务都无法访问。

特点 利用的是UDP协议的无连接特性（DNS主要使用UDP），伪造源IP地址，使得追踪和防御变得困难。

4. 域名劫持 (Domain Hijacking)

这种攻击针对的是域名注册商和域名所有者本身。

原理 攻击者通过窃取域名所有者的邮箱密码、利用注册商系统的漏洞、或进行社会工程学诈骗，非法获取某个域名的管理权限。

结果 攻击者可以修改该域名的DNS记录，将其指向任何他们想要的IP地址，或者直接将域名转移走，这意味着所有访问这个域名的人都会被引导到恶意网站。

著名案例 过去发生过一些大型网站（如Twitter、纽约时报）的域名短暂被劫持的事件。

5. 隧道攻击 (DNS Tunneling)

这是一种利用DNS协议进行数据渗漏和建立隐蔽通信通道的攻击。

原理 由于DNS查询通常不会被防火墙严格封锁（否则无法上网），攻击者可以将其他协议的数据（例如被盗取的文件、远程控制命令）编码后伪装成DNS查询或响应数据。

过程

1. 攻击者在受控机器上植入恶意软件。

2. 恶意软件将窃取的数据编码成子域名（例如[加密数据].evil.example.com），并向攻击者控制的DNS服务器发起查询。

3. 攻击者的DNS服务器收到查询，解码出数据，并可以通过DNS响应返回新的指令。

目的 绕过网络安全防护，从内部网络向外窃取数据，或建立一条隐蔽的命令控制（C&C）通道。

如何防御DNS攻击？

防御需要多方共同努力：

1、使用更安全的DNS协议：

DNSSEC (DNS Security Extensions) 这是最重要的解决方案，它为DNS响应提供数字签名，就像给官方文件盖章一样，让接收者可以验证响应的真实性和完整性，有效防止欺骗和缓存投毒。（但需要递归DNS服务器和权威DNS服务器都支持）

2、作为普通用户：

使用可信的公共DNS服务 如Cloudflare (1.1.1.1)、Google (8.8.8.8)、Quad9 (9.9.9.9)，它们通常有更好的安全性能和DNSSEC验证。

保持系统和软件更新 及时修补漏洞，防止恶意软件修改DNS设置。

警惕网络钓鱼 不要点击可疑链接或附件。

加固路由器 修改路由器的默认管理员密码，使用WPA2/WPA3加密Wi-Fi。

注意HTTPS 养成检查浏览器地址栏是否有锁形标志（HTTPS）的习惯，即使被DNS欺骗到了假网站，攻击者也很难伪造有效的SSL证书，浏览器会发出警告。（但并非绝对安全）

3、作为企业/组织：

部署DNSSEC 在自建的DNS服务器上启用。

配置防火墙策略 只允许授权的DNS服务器进行外部查询。

部署DDoS缓解方案 使用云服务或专用设备来抵御流量攻击。

加强域名管理 为域名账户开启双因素认证（2FA），使用注册商提供的域名锁定功能，防止非法转移。

DNS攻击的核心思路是“误导” 和“瘫痪”。

误导（欺骗/劫持） 将用户引向错误的目的地，以达到窃取信息、植入恶意软件的目的。

瘫痪（泛洪攻击） 通过海量垃圾请求耗尽资源，使服务不可用。

理解这些攻击原理是保护自身网络安全的第一步。

文章摘自：https://idc.huochengrm.cn/dns/13649.html