IT之家 8 月 9 日消息,騰訊云 DNSPod 官方今日發(fā)文,稱監(jiān)測到國內(nèi)大量家用路由器的 DNS 解析配置被篡改,從而影響到了正常的網(wǎng)站和 App 訪問。
該情況于 2024 年 5 月開始出現(xiàn),于 8 月 5 日集中爆發(fā)達(dá)到峰值,截至 8 月 7 日,經(jīng)過測試確認(rèn),導(dǎo)致本次故障大規(guī)模爆發(fā)的域名在異常 DNS 服務(wù)器上已經(jīng)恢復(fù),但受 TTL 及客戶端本地緩存的影響,客戶端的恢復(fù)時間會有一定的滯后性。
正常情況下,用戶訪問網(wǎng)站或 App 時,會向 DNS 服務(wù)器發(fā)送請求,解析網(wǎng)站域名對應(yīng)的 IP 地址。DNS 服務(wù)器會返回正確的 IP 地址,用戶的設(shè)備與目標(biāo)服務(wù)器建立連接并訪問網(wǎng)站。
但在 DNS 劫持攻擊中,惡意 DNS 服務(wù)器會返回錯誤的 IP 地址,導(dǎo)致用戶訪問到錯誤的網(wǎng)站或者無法訪問目標(biāo)網(wǎng)站。
騰訊云官方給出了自查方案,IT之家匯總?cè)缦拢?/strong>
首先檢查您的路由器的主 DNS 配置是否被修改為了類似以下 IP(包括但不限于以下 IP),如果被修改為了以下 IP,并且輔 DNS 被改為 1.1.1.1,基本可以確定您的家用路由器 DNS 被劫持篡改。
122.9.187.125
8.140.21.95
101.37.71.80
47.102.126.197
118.31.55.110
47.109.22.11
47.113.115.236
47.109.47.151
47.108.228.50
39.106.3.116
47.103.220.247
139.196.219.223
121.43.166.60
106.15.3.137
如果您的路由器上配置的 DNS 服務(wù)器 IP 不在上方列表中,您可通過以下典型特征來確認(rèn)其 DNS 劫持行為:
一、域名解析記錄 TTL 被修改為 86400 秒,即域名解析記錄都會被緩存 1 天??梢栽谝慌_能訪問公網(wǎng)的終端(如 Mac 電腦或者 Linux 云服務(wù)器)中執(zhí)行命令檢查:dig @122.9.187.125 dnspod.cn。其中 122.9.187.125 為示例 IP 地址,您可將其替換為您的家用路由器 DNS 服務(wù)器的 IP 地址。
二、間歇性存在大量域名無法正常解析的問題,返回 NXDOMAIN+ 錯誤的 SOA 記錄,而不是返回正常的 A 記錄或者 CNAME 記錄。可執(zhí)行命令檢查:dig @122.9.187.125 test.ip.dnspod.net。其中 122.9.187.125 為示例 IP 地址,您可將其替換為您的家用路由器 DNS 服務(wù)器的 IP 地址。
三、DNS 版本為 unbound 1.16.2。可執(zhí)行命令檢查:dig @122.9.187.125 version.bind chaos txt。其中 122.9.187.125 為示例 IP 地址,您可將其替換為您的家用路由器 DNS 服務(wù)器的 IP 地址。
如果確認(rèn)自己已遇到了上述情況,騰訊云建議家用路由器用戶升級家用路由器固件,并修改 DNS 服務(wù)器為運營商遞歸 DNS 或 119.29.29.29 等知名公共 DNS,以確保能夠正常解析。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。