DNS劫持与DNS污染的原理与防御 1. 知识点描述 DNS劫持（DNS Hijacking）和DNS污染（DNS Spoofing/Pollution）是两种常见的网络攻击手段，旨在篡改DNS解析结果，将用户引导至恶意网站或拦截正常服务。 DNS劫持 ：通过攻击DNS服务器或用户设备，直接修改DNS响应，使域名解析到错误的IP地址。 DNS污染 ：在DNS查询过程中，攻击者伪造虚假的DNS响应包，抢先于合法响应到达用户端，导致解析错误。 2. DNS劫持的常见手法 步骤1：攻击DNS服务器 攻击者通过漏洞入侵运营商或公共DNS服务器，修改其DNS记录。例如，将 www.example.com 的IP改为恶意IP。 结果 ：所有使用该DNS服务器的用户都会受到影晌。 步骤2：本地设备劫持 恶意软件修改用户设备的Hosts文件或DNS设置（如路由器DNS被篡改）。 结果 ：仅影响单个设备或局域网用户。 步骤3：中间人攻击（MITM） 攻击者在网络链路中拦截DNS查询（如ARP欺骗），并返回伪造的IP地址。 3. DNS污染的实现原理 关键点：伪造DNS响应包 DNS协议使用UDP传输，无连接验证机制。攻击者监听DNS查询（通常目标端口为53），并抢先发送伪造的响应包。 技术细节 ： 用户向DNS服务器发送查询请求，包含随机生成的 16位查询ID （用于匹配请求与响应）。 攻击者需伪造匹配的查询ID、源端口和目标IP，但通常通过流量分析预测这些值。 伪造的响应包中指定错误的IP地址，并设置较短的TTL（生存时间）避免长期影响。 4. 防御措施 针对DNS劫持 ： 使用 DNSSEC （DNS安全扩展）：通过数字签名验证DNS响应的真实性。 部署 HTTPS ：即使DNS被劫持，SSL证书验证可防止访问伪造网站（但首次访问仍可能风险）。 定期检查路由器DNS设置，避免使用默认密码。 针对DNS污染 ： 使用 DNS over HTTPS（DoH） 或 DNS over TLS（DoT） ：加密DNS查询，防止窃听与篡改。 配置防火墙规则，阻止外部IP向本地发送未经请求的DNS响应。 5. 实际案例 2014年巴西银行用户遭遇DNS劫持，恶意软件修改路由器DNS，将用户重定向到钓鱼网站。 某些地区运营商为实施内容过滤，会返回错误的DNS解析结果（属于DNS污染的一种形式）。 总结 DNS劫持与污染的核心差异在于攻击层面：劫持针对服务器或设备，污染针对查询过程。防御需结合加密协议（如DoH/DNSSEC）和系统安全加固。