DNS

## 1 含义

1. DNS，就是 Domain Name System，即**域名系统**，**是互联网上作为域名和 IP 地址相互映射的一个分布式数据库**。
2. DNS 能够**使用户更方便的访问互联网**，而**不用去记住能够被机器直接读取的 IP 数串**。

## 2 域名解析过程

![](/media/202107/2021-07-18_1430280.356278505062932.png)

1. 网络客户端就是我们平常使用的电脑，打开浏览器，输入一个域名，比如 `www.163.com`，这时，我们的电脑会**发出一个 DNS 请求到本地 DNS 服务器**，本地 DNS 服务器一般都是我们的网络接入服务器商提供，比如中国电信、中国移动。
2. 查询 `www.163.com` 的**DNS 请求到达本地 DNS 服务器之后**，本地 DNS 服务器会**首先查询他的缓存记录**，**如果缓存中有此条记录**，**就可以直接返回结果**，**如果没有**，**本地 DNS 服务器还要向 DNS 根服务器进行查询**。
3. **根 DNS 服务器没有记录具体的域名和 IP 地址的对应关系**，而是**告诉本地 DNS 服务器**，你**可以到域服务器上去继续查询**，并**给出域服务器的地址**。
4. **本地 DNS 服务器继续向域服务器发出请求**，在这个例子中，**请求的对象是 `.com` 域服务器**，**`.com` 域服务器收到请求之后**，**也不会直接返回域名和 IP 地址的对应关系**，**而是告诉本地 DNS 服务器**，**你的域名的解析服务器的地址**。
5. 最后，**本地 DNS 服务器向域名的解析服务器发出请求**，**这时就能收到一个域名和 IP 地址的对应关系**，本地 DNS 服务器**不仅要把 IP 地址返回给用户电脑**，**还要把这个对应关系保存在缓存中**，**以备下次别的用户查询时**，**可以直接返回结果**，**加快网络访问**。

## 3 DNS 劫持

### 3.1 含义

1. DNS 劫持即**通过某种技术手段**，**篡改正确域名和 IP 地址的映射关系**，**使得域名映射到了错误的 IP 地址**，因此可以认为**DNS 劫持是一种 DNS 重定向攻击**。
2. DNS 劫持通常可被用作：
   1. **域名欺诈**：如**在用户访问网页时显示额外的信息来赚取收入**。
   2. **网络钓鱼**：如**显示用户访问的虚假网站版本并非法窃取用户的个人信息**。

### 3.2 DNS 劫持的分类

#### 3.2.1 本地 DNS 劫持

1. **客户端发生的 DNS 劫持称为本地 DNS 劫持**，本地 DNS 劫持可能是：
   1. 黑客**通过木马病毒或者恶意程序入侵 PC**，**篡改 DNS 配置**（Hosts 文件、DNS 服务器地址、DNS 缓存等）。
   2. 黑客**利用路由器漏洞或者破解路由器管理账号入侵路由器并且篡改 DNS 配置**。

#### 3.2.2 DNS 解析路径劫持

1. **DNS 解析过程中发生在客户端和 DNS 服务器网络通信时的 DNS 劫持统一归类为 DNS 解析路径劫持**。
2. DNS 解析路径劫持可以划分为如下三类：
   1. **DNS 请求转发**：**通过技术手段将 DNS 流量重定向到其他 DNS 服务器**。![v2-75c03e5645dd6dfc596b57bf40c48a8d_1440w.jpg (822×384)](https://notebook.ricear.com/media/202206/2022-06-20_1744510.6474541705194289.png "图片来自《巫俊峰, 沈瀚. 基于旁路抢答机制的异网 DNS 管控实践. 电信技术[J]》")
   2. **DNS 请求复制**：**利用相关设备将 DNS 查询复制到网络设备**，**并先于正常应答返回 DNS 劫持的结果**。![](/media/202107/2021-07-18_1515030.35823995926006347.png "一个 DNS 查询抓包返回两个不同的应答（来源：知乎 @ 阿里云云栖号）")
   3. **DNS 请求代答**：**网络设备或者软件直接代替 DNS 服务器对 DNS 查询进行应答**。![](https://notebook.ricear.com/media/202206/2022-06-20_1744510.3387510445386235.png "一些 DNS 服务器实现了 SERVFAIL 重写和 NXDOMAIN 重写的功能（来源：知乎 @ 阿里云云栖号）")

#### 3.2.3 篡改 DNS 权威记录

1. 篡改 DNS 权威记录，我们这里指的是**黑客非法入侵 DNS 权威记录管理账号**，**直接修改 DNS 记录的行为**。![](/media/202107/2021-07-18_1519250.8802831104077369.png "黑客黑入域名的管理账户，篡改 DNS 权威记录指向自己的恶意服务器以实现 DNS 劫持（来源：知乎 @ 阿里云云栖号）")![](/media/202107/2021-07-18_1520290.09574644434062196.png "黑客黑入域名的上级注册局管理账户，篡改域名的 NS 授权记录，将域名授权给黑客自己搭建的恶意 DNS 服务器以实现 DNS 劫持（来源：知乎 @ 阿里云云栖号）")

### 3.3 DNS 劫持应对策略

1. **安装杀毒软件**，**防御木马病毒和恶意软件**，**定期修改路由器管理账号密码**。
2. **选择安全技术实力过硬的域名注册商**，并且**给自己的域名权威数据上锁**，**防止域名权威数据被篡改**。
3. **选择支持 DNSSEC 的域名解析服务商**，并且**给自己的域名实施 DNSSEC**，**DNSSEC 能够保证递归 DNS 服务器和权威 DNS 服务器之间的通信不被篡改**。
4. **在客户端和递归 DNS 服务器通信之间使用 DNS 加密技术**，如 DNS-over-TLS、DNS-over-HTTPS。

## 参考文献

1. [一张图看懂 DNS 域名解析全过程](https://www.cnblogs.com/crazylqy/p/7110357.html)。
2. [聊一聊 DNS 劫持那些事](https://zhuanlan.zhihu.com/p/86538629)。