路由器DNS劫持变的越来越普遍。目前来说,这种技术是比较高端的一种方式,非接触随时可控,可以直接劫持你的站点跳转到一些非可信网站。一般用户很难觉察到,就算觉察到了取证举报更难。所以,我们有必要利用简单的篇幅给大家做一些演示,其实只要明白它的劫持原理,那么防范也并不复杂。
首先,对于路由器DNS的配置需要明确两点:
- 目前市面上大部分家用路由器都是默认开启DHCP协议,配置运营商的DNS服务器IP。
- 很多企事业单位为了便于运维管理,配置了DHCP地址池,并添加了可信DNS服务器列表。
路由器DNS劫持是较小范围的劫持,只有配置了DHCP协议的用户终端,接入被篡改DNS列表配置的路由器后才能实现劫持。
然而,一旦在通过漏洞获得路由器的登录权限后,就可以很容易通过篡改DNS服务器IP列表的方式,造成DNS劫持。
首先,我们看一下企、事业单位网络常用的DNS中继示意图。
图1
为清晰明了,也同时贴出路由器DHCP和DNS的配置。
#
dhcp enable
dhcp check dhcp-rate enable
dhcp check dhcp-rate 90
#
dhcp server ping packet 10
dhcp server ping timeout 100
#
ip pool net1
gateway-list 10.1.2.1
network 10.1.2.0 mask 255.255.255.0
excluded-ip-address 10.1.2.254
dns-list 10.20.1.2 # DNS服务器的IP为10.20.1.2
#
ip pool net2
gateway-list 10.1.3.1
network 10.1.3.0 mask 255.255.255.0
excluded-ip-address 10.1.3.254
dns-list 10.20.1.2 # DNS服务器的IP为10.20.1.2
#
注意:配置中的dns-list 10.20.1.2命令,只要修改此处IP为非可信IP,即可引流整网的DNS请求到指定的IP。
如下图:左侧是可信DNS服务器,右侧是非可信DNS服务器。
图2
如果用户通过非可信DNS服务器解析,DNS被劫持了,对他来说,谷歌IP就是8.8.88.8,就这么简单。
至于防范的方法,管理员只要登录到相关的路由器,检查以上配置情况。
如果发现被劫持,一是要做好设备的漏洞修复工作,二是要修改管理员密码和相关配置。防范就完成了。
网友评论