篇一:网络DNS劫持手工修复教程
网络DNS劫持手工修复教程
无论使用任何是主页修复软件都提示一切正常。包括各种主页修复大师,最后还是自己动手搞定了。下面分享下解决DNS劫持的主要过程供大家参考借鉴。
篇二:遇见DNS劫持
遇到DNS劫持及处理过程经历分享
1. 现象: 1) 打开一个正常的网站电脑右下角会莫名的弹窗一些小广告;
2) 打开一个下载链接下载的并不是所需要的东西;浏览器输入一个网址后回车网页跳转到其他网址的页面,会弹出广告页面,例如网页小游戏。
2. 危害: 1) 广告链接,弹窗,影响电脑及上网运行流畅,观感;
2) 吸引点击广告链接,恶意链接,挂马链接,欺骗链接
3) 劫持正常访问,重定向正常的域名到钓鱼网站,进行盗号,盗取用户金钱。
3. 经过过程
老丈人在猫市买了个TF卡,存的音乐不能读,让我帮看看(这个不是本篇重点,实际上最后查京东,最便宜的二十八、九圆,他买的二十元,最后实际存储了下,发现存进去后再弄出来播放器就无法播放,但显示一切正常,查询了下是做过手脚的存储卡),在弄的过程中打开网页总是弹出一个域名,然后跳转各种网页游戏登录页面。换浏览器测试发现都会在右下角有个广告方框。 1) 感觉中毒了,查询程序安装卸载界面,文件及隐藏文件,启动项,服务项,IE插件,进程及模块,除了一些常见的流氓软件,未见其他异常,注册表搜索那个域名未果。
2) 百度那个域名,没有有价值的经验信息,只是某论坛上有人给出域名劫持的思路。
3) 然后发现本机自动获取的IP地址,DNS一栏有可疑,询问装的是电信宽带,因为知道本地电信DNS为202.103.44.150,202.103.24.68,202.103.44.5,202.103.0.117,修改后打开IE测试没有右下角的广告窗,确定是DNS出问题。
4) 登录路由器现象如下:弹出页、路由器上自动获取的IP信息DNS项、本机自动获取的IP信息DNS项。
5) 但是路由是拨号上网方式
6) DHCP设置保持默认,没有更改
7) 但是本机获取的IP地址信息如下
8) 将路由器恢复出厂设置,重新设置后,恢复正常,DNS自动获取如下。
9) 打开浏览器却发现问题依旧,而且出现新现象,每个浏览器标签会有下
载提示,有提示路由器密码过于简单或者没有加密
(实际上是有加密的),使用Ipconfig /all发现IP地址依然如图,
10) 打开注册表编辑器,在整个注册表中搜索61。146。155。181这个地址,
发现注册表被修改,修改去掉所有该IP地址内容。测试故障消失,将路由器默认账户密码修改,清除登录路由器后IE记录的账户密码记录。清理完成。
11) 有兴趣可继续查询DNS被劫持过程原理。
篇三:如何确保你的DNS服务器免受劫持困扰
太多太多的DNS服务器被恶意人士加以劫持,并用于实施DDoS攻击。在今天的文章中,我们将共同探讨如何确保自身免受此类恶意行为的影响。
虽然现在看来已经可以算是陈年旧事,但就在互联网刚刚诞生的约二十年前,我们曾面临着一个巨大的难题:邮件服务器太过友好。
简而言之,大多数邮件服务器允许任何人进行接入,并将邮件发送给任何收件者。要实现这一切,我们甚至不需要作为邮件服务器的用户,或者只需要费一点小劲来将自己伪装成用户即可。
攻击者能够利用邮件服务器的邮件SMTP接收端口(TCP端口25)来实现连接,并模仿全部SMTP服务器用于交换邮件的内部命令发送各类操作(通过telent、脚本或者其它程序)。如此一来,黑客将能够伪造电子邮件、宣称其来自邮件服务器所托管的某位合法用户并将任意邮件内容发送给任意收件人。
垃圾邮件发送者会寻找这类“开放转发”服务器,并将成千万甚至上亿封垃圾邮件发送到世界各地。全球技术人员——以及邮件服务器供应商——花了约二十年时间来强制要求所有始发邮件必须进行实际来源验证,且由认证用户所发出。然而在多年之后,类似的开放转发问题又出现在互联网领域的另一大基础性技术当中,即DNS。攻击者经常会利用配置不当的DNS服务器向查询客户端发送无效IP地址——或者发送大量虚假流量以实施DDoS攻击。
利用DNS实施DDoS攻击
DDoS以及其它攻击者多年来一直在利用DNS实施他们的邪恶阴谋,但在过去几年当中,这种状况出现了愈演愈烈之势。
最近一段时间来,多数大规模DDoS攻击者开始频繁利用DNS“放大”技术。如果大家对其具体实现方式及背景信息感兴趣,可以查看US-CERT、互联网系统联盟以及CloudFlare上的相关资料(英文原文)。
最终,DNS服务器供应商与协议开发商不得不采取对应措施,而这一切正如当年SMTP邮件供应商所作出的保护努力一样。其中包括更理想的默认设置及新型防御机制。不过遗憾的是,DNS服务器——虽然它们看起来可能运行良好——仍然被人们所忽视,而且继续保留着攻击者不希望管理方发现的大量安全漏洞。
禁用开放转发DNS服务器
每一家企业客户都能够轻松实现的保护手段就是限定自身DNS服务器对哪些以及来自谁的请求做出响应。对于内部DNS服务器而言,我们需要确保其只会针对来自内部计算机或者其它认证DNS服务器的查询给出DNS响应。
即使是在外部环境下,面向公众的DNS服务器也不应该以无脑方式对所有请求做出响应。如果大家的DNS服务器托管于*.example.com地址,那么绝对不会有合法用户在该域名之外进行域名地址查询。如果大家的DNS服务器当前会对来自任何使用者的全部查询做出响应,特别是来自任意域名的请求,那么这就是一台开放转发DNS服务器——相信我,这绝不是什么好事。
为了确保我们的DNS服务器不被划归为开放转发一类,并对其进行严格锁定并保证其合法运作,请将其IP地址输入到以下各DNS开放转发检测服务中进行安全性测试:
· Open Resolver Project
· Open DNS Resolver Check Site
· DNS Expertise - The Measurement Factory
· DNS Inspect
DNS响应速率限制
作为防止自有DNS服务器被用于DDoS攻击活动的最佳防御手段之一,我们应当对其进行响应速率限制(简称RRL)。RRL主要面向权威DNS服务器(即那些应当对一个或者多个域名进行响应的DNS服务器),且允许DNS管理员针对DNS响应流量作出有效速率限制。尽管在默认情况下并未启用(但绝对应该被启用!),我们可以在BIND 9.9(及其后续版本)当中找到RRL,其同时也作为微软即将推出的Windows Server 2016 DNS服务的组成部分。
如果大家的DNS服务器并不支持RRL,则可以尝试利用其它备选方案实现同样的效果,包括使用防火墙速率过滤或者其它反DDoS服务来保护自己的DNS。
禁用向上转介响应
对于大多数DNS来讲,当某台非递归权威DNS服务器收到一条未经认证的域名查询时,该DNS服务器会直接将该查询客户重新定向至顶级域名DNS服务器(能够在文件托管?root hints?当中按照名称及IP地址进行排列)。这是一种
较为礼貌的作法,类似于“嘿,我不知道答案是什么,但我建议你到那边试试运气。”
但事实上,这种方式相当于因为个人原因而毁掉大家的生活,而DNS放大攻击的出现也使得这种使用root hints的方式饱受诟病。BIND长久以来一直建议大家禁用这一向上转介行为。微软公司计划在其Windows Server 2016当中默认禁用向上转介机制,而大家也可以通过删除该root hints文件(具体位置为c:\windows\system32\DNS\cache.dns)的方式在其它Windows Server早期版本中禁用该功能。
检查所有DNS服务
针对计算机及设备用于接收连接的TCP或者UDP端口53进行扫描,从而检查所有运行有DNS服务的计算机及设备并对其进行安全配置。一般来讲,大家会发现其中存在着一些运行有计划外DNS服务器的装置及网络设备(例如无线路由器等)。
开门揖盗最为愚蠢
DNS协议自从1983年诞生以来就一直拥有良好的实际表现。它虽然也经历过被滥用以及后续更新作为补救的状况,但总体而言,它仍然扮演着保障互联网正常运转的核心角色。不过我们绝不能够对现有安全水平盲目自满,特别是在DNS方面。
在文章的最后,我要提醒大家千万别让自己的DNS服务器重复当初公共邮件服务器的覆辙——作为现代IT世界中的一员,我们不可能再拿出十年时间来解决那些早就该进行修复的问题
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有