DNS劫持作为最常见的网络攻击形式，是每个站长和运维团队最头疼的问题。一个精心管理的网站如果被DNS劫持，不仅会影响网站流量和权重，还会使用户面临风险、泄露隐私、造成财产损失。

2009年巴西最大银行Banco Bradesco近1%的客户遭到攻击，账户被盗的“银行劫持事件”，是一种极其简单的攻击方式，却引起了世界性的轰动。黑客利用宽带路由器中的缺陷来篡改用户的DNS。 —— 当用户查看黑客创建的网页时，该网页包含经过精心设计的恶意代码，可成功逃避安全检测。许多用户因利用该软件而遭到DNS 网络钓鱼的诈骗。

网站被黑客攻击、恶意镜像或嵌入垃圾邮件代码的情况并不少见。损害包括以下内容：

针对在线购物和在线支付的网络钓鱼诈骗可能会恶意将您重定向到其他网站，进一步增加您的个人帐户被盗的风险。恶意广告会出现在您的网站上，轻则影响您的网速，重则让您无法上网。但面对DNS劫持，你能投降吗？

知己知彼，什么是 DNS？

DNS 是域名系统(Domain Name System) 的缩写，它以分布式数据库的形式将域名和IP 地址相互映射。简单来说，DNS就是用来解析域名的。正常情况下，每个用户的上网请求都会通过DNS解析定向到匹配的IP地址，从而完成上网操作。 DNS作为应用层协议，主要与HTTP、SMTP、FTP等其他应用层协议配合使用。具体流程如下。

（1）运行在用户主机（PC或手机）上的DNS客户端。

(2)浏览器从接收到的URL中提取域名字段、访问的主机名(例如http://www.aliyun.com/)，并将该主机名发送给DNS应用客户端。

(3) DNS客户端向DNS服务器发送包含要访问的主机名字段的查询消息（包括一系列缓存的查询和分布式DNS集群的工作）。

(4) DNS客户端最终收到包含主机名对应的IP地址的响应消息。

(5) 一旦浏览器从DNS 接收到IP 地址，它就可以向该IP 地址的HTTP 服务器发起TCP 连接。

（图片来自网络，仅描述）

如果你想获取目标网站的IP，你会发现除了搜索本地机器上的活动之外，还需要第三方服务器（DNS）的参与。但是，只要网络不受第三方服务的控制，就可能发生DNS 劫持，从而打开非目标网站，例如获取的IP 不是您想要的实际IP。当网站进行本地DNS解析时，黑客会将本地DNS缓存中的目标网站替换为另一个网站的IP并返回。客户端不知道这一点，并遵循正常的寻址和建立连接过程。如果黑客试图窃取用户帐户和密码，黑客可以创建与目标网站相同的特洛伊木马页面并允许用户登录。当用户输入并提交密码时，他们就会被欺骗。

常见 DNS 劫持手段又有哪些？

(1) 利用DNS 服务器进行DDoS 攻击

DNS 劫持对业务造成哪些影响？

实时监控您的网站，实现分钟级监控，通过ARMS云拨号测试快速检测DNS劫持和页面篡改。

劫持检测

DNS劫持监控通过域名白名单和元素白名单，有效检测域名劫持和元素篡改。您可以在创建拨号测试任务时配置DNS劫持白名单。例如，构成DNS劫持格式的文件内容为www.aliyun.com:201.1.1.22|250.3.44.67。这意味着www.aliyun.com下除201.1.1.22和250.3.44.67外的所有域名均被劫持。

页面污损监控在测试期间将原始页面中的元素类型添加到页面污损白名单中，并将加载的元素与白名单进行比较，以确定页面是否已被污损。例如，构成污损页面的文件内容为www.aliyun.com:|/cc/bb/a.gif|/vv/bb/cc.jpg。这意味着它在域名www.aliyun下。com 中，除基本文档外，/cc/bb/a.gif 和/vv/bb/cc.jpg 以外的元素都属于被篡改的页面。再例如，配置页面篡改的文件内容为www.aliyun.com:*。这并不意味着该域名下的所有元素都被篡改了。

劫持警告

除了持续监控之外，及时警报也很重要。通过灵活设置劫持报警率，如果某个任务的劫持率超过阈值，将快速通知相关运维团队对网站进行维护，确保用户数据安全和网站正常浏览。

在提升用户体验的同时，企业确保网站和用户资产的安全也很重要。云拨号测试可保护您网站的安全和用户体验。

作者：白宇

原文链接：http://click.aliyun.com/m/1000307907/

本文为阿里云原创内容，未经许可不得转载。