DNS劫持是破坏域名系统(DNS)查询解析的做法。这可以通过恶意软件覆盖计算机的TCP/IP配置以指向受攻击者控制的流氓DNS服务器,或通过修改受信任的DNS服务器的行为使其不符合互联网标准来实现.
这些修改可能出于网络钓鱼等恶意目的、互联网服务提供商(ISP)、基于公共/路由器的在线DNS服务器提供商的自我服务目的,以将用户的网络流量定向到ISP的自己的网络服务器,可以在其中提供广告、收集统计数据或ISP的其他目的;并由DNS服务提供商以一种审查形式阻止对选定域的访问。
其中的DNS服务器的功能是将转换域名为IP地址,该应用程序需要连接到Internet资源,如网站。此功能在各种正式的互联网标准中定义,这些标准非常详细地定义了协议。DNS服务器受到面向Internet的计算机和用户的隐式信任,可以将名称正确解析为Internet域所有者注册的实际地址。
对DNS劫持的关注涉及对NXDOMAIN响应的这种劫持。Internet和Intranet应用程序依赖NXDOMAIN响应来描述DNS没有指定主机条目的情况。如果要查询无效的域名(例如www.example.invalid),则应该得到NXDOMAIN响应——通知应用程序该名称无效并采取适当的措施(例如,显示错误或不尝试连接到服务器)。但是,如果在这些不合规的ISP之一上查询域名,则总是会收到属于该ISP的虚假IP地址。在Web浏览器中,这种行为可能会令人讨厌或令人反感,因为与此IP地址的连接会显示ISP重定向页面。提供者的信息,有时带有广告,而不是正确的错误消息。但是,依赖NXDOMAIN错误的其他应用程序将改为尝试启动与此欺骗IP地址的连接,这可能会暴露敏感信息。
当ISP劫持DNS时功能中断的示例:
作为WindowsServer域成员的漫游膝上型电脑将错误地被引导相信它们已回到公司网络,因为域控制器、电子邮件服务器和其他基础结构等资源似乎可用。因此,应用程序将尝试启动与这些公司服务器的连接,但失败,从而导致性能下降、互联网连接上的不必要流量和超时。
许多小型办公室和家庭网络没有自己的DNS服务器,而是依靠广播名称解析。许多版本的MicrosoftWindows默认将DNS名称解析优先于NetBIOS名称解析广播;因此,当ISPDNS服务器返回LAN上所需计算机名称的(技术上有效的)IP地址时,连接的计算机使用此错误IP地址并且不可避免地无法连接到LAN上所需的计算机。解决方法包括使用正确的IP地址而不是计算机名称,或更改DhcpNodeType注册表值以更改名称解析服务顺序。
Firefox等浏览器不再具有“按名称浏览”功能(在地址栏中键入关键字会将用户带到最近的匹配站点)。
出于性能原因,现代操作系统中内置的本地DNS客户端将缓存DNS搜索的结果。如果客户端在家庭网络和VPN之间切换,则可能会缓存错误条目,从而在VPN连接上造成服务中断。
机密用户数据可能会被ISP欺骗的应用程序泄露,使其相信他们希望连接的服务器可用。
由于ISP决定向用户显示哪些搜索结果,因此用户在浏览器中输入错误URL时选择要咨询的搜索引擎将被删除。
配置为使用具有VPN连接的拆分隧道的计算机将停止工作,因为不应在隧道外通过公共Internet解析的Intranet名称将开始解析为虚构地址,而不是在私有DNS服务器上通过VPN隧道正确解析时从Internet接收到NXDOMAIN响应。例如,尝试解析内部邮件服务器的DNSA记录的邮件客户端可能会收到一个错误的DNS响应,该响应将其定向到付费结果Web服务器,消息排队等待传送数天而尝试重新传输却徒劳无功。
它破坏了监控软件。例如,如果定期联系服务器以确定其健康状况,则xxx器永远不会看到故障,除非xxx器尝试验证服务器的加密密钥。
在某些但不是大多数情况下,ISP提供订户可配置的设置以禁用对NXDOMAIN响应的劫持。正确实施后,此类设置会将DNS恢复为标准行为。但是,其他ISP使用Web浏览器cookie来存储首选项。在这种情况下,底层行为没有得到解决:DNS查询继续被重定向,而ISP重定向页面被替换为伪造的DNS错误页面。当该方案在协议中立的DNS系统中实际实施时,除Web浏览器之外的应用程序不能使用cookie选择退出该方案,因为选择退出仅针对HTTP协议。
留言0