针对递归 DNS 的劫持

最近更新时间: 2019-11-22 16:02:29

由于 DNS 系统采用了不可靠的 UDP 数据包进行通信,攻击者就有机会假冒授权 DNS 服务器,使用假的数据欺骗递归 DNS。针对递归 DNS 的攻击通常是地域性的,比如黑客攻击了某一个或某几个递归 DNS 服务器,只有使用了该递归 DNS 的访问受影响,使用 dig 或 nslookup 测试会发现某些递归 DNS 服务器结果是错误的,而某些是正确的。

对于普通网民来说,建议使用更安全的递归 DNS,如 google 公司的 8.8.8.8。通常我们相信凭google 的技术实力DNS被劫持的可能性较小,所以如果 8.8.8.8 返回的结果是正确的,就说明授权 DNS 服务是正常的。对于广大站长来说,建议做好在域名注册商处的帐号安全,并使用技术实力强大的供应商提供的授权 DNS 服务。