DNS劫持

DNS劫持，是指通過攻擊域名解析服務(wù)器（DNS）或偽造域名解析服務(wù)器（DNS）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的IP地址從而實(shí)現(xiàn)用戶無法訪問目標(biāo)網(wǎng)站的目的或者蓄意或惡意要求用戶訪問指定IP地址（網(wǎng)站）的目的。

通常來說存在三種情況：

路由器被入侵

DNS服務(wù)被入侵

運(yùn)營(yíng)商流量劫持

鑒于運(yùn)營(yíng)商方面有時(shí)溝通無果，本文只討論前兩種情況。

DNS劫持應(yīng)該優(yōu)先排查好主機(jī)方面的問題，如DNS配置有無問題，本地hosts文件是否被篡改過，瀏覽器設(shè)置是否被改動(dòng)，前兩種情況可以直接查看，瀏覽器設(shè)置問題可以使用360、火絨等殺軟直接進(jìn)行掃描并修復(fù)。

路由器被入侵導(dǎo)致的DNS劫持應(yīng)該是最常見的場(chǎng)景，由于某些路由器可能映射管理端口到外網(wǎng)，并且有可能存在弱口令和RCE的問題，所以遇到DNS劫持的情況，應(yīng)當(dāng)首先更換路由器設(shè)備（當(dāng)前，肯定要換不同的款式），然后查看情況是否解決，如果解決問題，那么針對(duì)原路由的口令以及后門RCE漏洞等進(jìn)行分析，出具相關(guān)報(bào)告。

如果仍未解決問題，那么考慮DNS服務(wù)器是否遭受入侵。

登錄DNS服務(wù)器，查看DNS配置是否存在問題，若發(fā)現(xiàn)被惡意更改，則確認(rèn)該事件是由于DNS服務(wù)器遭受入侵導(dǎo)致，需要使用殺軟進(jìn)行病毒查殺掃描，可以參考上篇文章中的主機(jī)處理流程。