DNS劫持

DNS劫持，是指通過攻擊域名解析服務(wù)器（DNS）或偽造域名解析服務(wù)器（DNS）的方法，把目標(biāo)網(wǎng)站域名解析到錯誤的IP地址從而實現(xiàn)用戶無法訪問目標(biāo)網(wǎng)站的目的或者蓄意或惡意要求用戶訪問指定IP地址（網(wǎng)站）的目的。

通常來說存在三種情況：

路由器被入侵

DNS服務(wù)被入侵

運營商流量劫持

鑒于運營商方面有時溝通無果，本文只討論前兩種情況。

DNS劫持應(yīng)該優(yōu)先排查好主機方面的問題，如DNS配置有無問題，本地hosts文件是否被篡改過，瀏覽器設(shè)置是否被改動，前兩種情況可以直接查看，瀏覽器設(shè)置問題可以使用360、火絨等殺軟直接進行掃描并修復(fù)。

路由器被入侵導(dǎo)致的DNS劫持應(yīng)該是最常見的場景，由于某些路由器可能映射管理端口到外網(wǎng)，并且有可能存在弱口令和RCE的問題，所以遇到DNS劫持的情況，應(yīng)當(dāng)首先更換路由器設(shè)備（當(dāng)前，肯定要換不同的款式），然后查看情況是否解決，如果解決問題，那么針對原路由的口令以及后門RCE漏洞等進行分析，出具相關(guān)報告。

如果仍未解決問題，那么考慮DNS服務(wù)器是否遭受入侵。

登錄DNS服務(wù)器，查看DNS配置是否存在問題，若發(fā)現(xiàn)被惡意更改，則確認(rèn)該事件是由于DNS服務(wù)器遭受入侵導(dǎo)致，需要使用殺軟進行病毒查殺掃描，可以參考上篇文章中的主機處理流程。