公众场合你点开了色情网站？也许你真是无辜的

黑产的黑，是什么黑？

我要的白，是什么白？

撰稿 | 走狗

编辑 | 图图

前不久的一则新闻，引起了狗哥的关注。

国家互联网应急中心CNCERT监测发现，中国境内部分用户通过家用路由器访问部分网站时，被劫持到涉黄涉赌网站。

此事已然解决，但黑灰产却是个永恒的话题。尤其是DNS劫持现象，更是与我们普罗大众息息相关。狗哥敢拍着胸脯说，网龄达十年的网友，十有八九遭遇过DNS被劫持的问题。

这是一个坏消息，但也可能是一则好消息。一眼就能看出坏，但好在哪里？

答案很简单。就是你在公司，或在家里，抑或在公共场所，小心翼翼地打开“澳门赌场”视频或网站，一不小心被老板、同事、家人、朋友看到，你大可以拍案而起，挺直腰杆义正言辞道：“这……这TM不是我干的，我的电脑被劫持了，你看国家互联网应急中心都发通报了，你得相信我，我是清白的，我不是那种人……”

当然，至于别人信不信你，狗哥也不得而知呀！

黑产争斗引发的网安事件

经此事件，部分网友反馈路由器信号不好、网速不快。

那段期间，也有一些群友加上狗哥，询问安在有没有黑客，能够帮他们修复网络，或者解决系统问题。狗哥内心隐隐一颤：纳尼？黑客什么时候成了it网管了？

对此，域名解析服务商DNSPod发布公告解释称，近日监控到多起客户在全国各地各运营商流量，被调度到江苏电信的问题，经过与第三方的合作分析排查确认，这是一起大规模的黑产攻击事件。

CNCERT也称，这是一起典型的由互联网地下黑色产业争斗引发的网络安全事件。

众所周知，作为家庭网络的枢纽，家用路由向来是不法分子喜欢攻击的目标之一。一旦成功，不仅能够控制家中一切联网设备，还很可能沦为地下黑产谋得利益的“工具”。

正因如此，地下黑产才会为这块兵家必争之地大打出手。

据悉，此次发生域名劫持的家用路由器，其DNS地址被黑客恶意篡改为江苏省镇江市103.85.84.0/24、103.85.85.0/24及扬州市45.113.201.0/24等地址段的多个IP地址。

这些IP地址提供DNS解析服务，并将部分涉黄涉赌类网站域名解析劫持到江苏省镇江市103.85.84.0/24地址段的部分IP地址，最终将用户访问跳转至一博彩类网站“www.mg437700.vip:8888”。

经CNCERT抽样监测发现，此次事件影响了遍布我国境内全部省份的IP地址400万余个，被劫持的涉黄涉赌类域名190余个，暂未发现合法的知名商业网站、政府类网站域名被劫持的情况。

DNSPod也称，该事件非DNSPod问题，因访问所有网络服务时DNS解析被调度到江苏电信或周边线路，因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。

说白了，就是因为用户使用了病毒的DNS进行解析，病毒DNS再递归给114.114.114.114或者其他公共DNS。此时，公共DNS会认为用户就来自病毒DNS所在的网段。

如果病毒DNS所在电信网络，那么公共DNS就会优先输出电信的CDN，这时对联通和移动用户来说，就要跨越运营商的结算边界，去访问电信的CDN服务器，因此出现了大量的用户出现跨网访问，造成运营商之间出现跨网访问结算和出口拥堵。

从上面DNS网络拓扑图中可见，在整个上网流程中，DNS环节是最脆弱且不受用户控制的。

DNS劫持由于通常发生在为大家提供上网的网络运营商的公共DNS服务器，因此普通用户很难进行处理，也无法进行有效预防，因此就造成当访问的目标网站被劫持时，会跳转到其他地址的情况。

如果你是专业人士，读到这里便可不必往下拉。因为本文更侧重于面向安在大众读者，让他们意识到DNS劫持的危害、发现之法、解决之道。

DNS劫持的通俗化阐释

或许有些朋友不太清楚，什么是DNS。说实话，狗哥也只知基本原理，专业表述还得请求度娘。

经查，DNS是域名系统的缩写,它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。由于DNS是关于查找地址和连接设备的，所以很多人称DNS为“互联网地址簿”。

通俗来说，DNS就是用来做域名解析的，它会在你上网输入网址后，把它转换成IP，然后去访问对方服务器。即将人们所熟悉的网址（域名）“翻译”成电脑可以理解的IP地址，这个过程叫做DNS域名解析。

如果你还不能完全理解，狗哥还可以解释更详细一些。

用户上网时，没人会去记忆网站服务器的IP地址，一是IP地址太多，二是根本记不住，而且有些网站服务器还不断更新IP地址。

为了方便大家上网，网站域名便和该网站服务器的IP地址做关联，这就是DNS服务器的作用。

当用户上网时，只需输入网址，再由DNS服务器进行查找相应服务器的IP地址，进而访问互联网。

其实，这和你手机通讯录有异曲同工之妙。网址就是联系人姓名，服务器IP地址就是电话号码。你通过查找姓名，找到了电话号码，这就类似于DNS解析的过程。

所以，DNS协议是网络中最为重要的服务之一，但在黑产盛行的当下，DNS服务也是最容易被黑产利用的工具。

狗哥在上网过程中，也遇到过很多次网页莫名跳转的情况。打开的网站不是想要的网页，而是跳转到不知所谓的页面。即便是一遍又一遍不厌其烦地输入正确网址，最终还是会跳转至那些恶意网站。有时那页面太美，让狗哥在公共场合受到了惊吓。

有时压根就打不开网页，但实际上网络并没有断开。在最初懵懂无知的年代，气得狗哥差点砸电脑，总以为是电脑出了问题，于是只好启用一键Ghost重装系统神器。

于是乎，在那个青涩年代，狗哥不知重装了多少次系统，耗费了无数时间，现在想起来真觉得图样图森破。

后来终于明白，这就是DNS劫持，也可称之为域名劫持。

DNS劫持危害深重

你可别小看DNS劫持，DNS劫持（DNS钓鱼攻击）十分凶猛，且不容易被用户感知，2016年10月22日，拥有500万用户，总资产超250亿美元的巴西Banrisul银行遭遇了长达5个小时的网站劫持，期间所有用户被“接管”到一个精心布置的钓鱼网站，所有成功登录的用户都被窃取了凭据，并且电脑被植入恶意木马。

事后卡巴斯基的安全专家评价，这次攻击事件是有史以来最大规模的行动之一。该银行至今未发布任何公告，受影响用户范围不详……

巴西银行事件原理是：黑客利用宽带路由器的缺陷，对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面，其宽带路由器的DNS就会被黑客篡改，因为该WEB页面设有特别的恶意代码，所以可以成功躲过安全软件检测，导致大量用户被DNS钓鱼诈骗。

最近几年，DNS劫持发生的网络安全事件，就数不胜数。

2018年4月，最受欢迎的以太坊钱包在两小时内，黑客盗走多个用户高达约500多个ETH（约35万美元）。后查证并非MyEtherWallet的安全问题，而是由于Amazon的DNS遭到劫持所导致。

2018年9月，网络钓鱼攻击式的恶意代码感染了巴西多达 10 万台互联网路由器，其将流量重定向到了仿冒的各大银行、电信企业、互联网服务提供商、甚至 Netflix 视频网站，并疯狂收集金融机构相关的用户登陆凭证。

据了解，本次CNCERT通报的DNS劫持事件，就是黑产操纵的DNS劫持，主要目的是为了将用户的一些正常域名（主要是彩票网站），解析到非法博彩网站，误导一些不明真相的网民对非法博彩网站的访问和点击、注册或充值，继而从中获利。

目前，这个被CNCERT通报的博彩网站已经无法打开。

为了避免用户面对这类状况不知所措，CNCERT也给出了处置建议：

1. 建议用户检查家用路由器DNS地址是否被恶意篡改，并及时修正。建议DNS地址更改为所使用运营商提供的DNS服务器地址或114.114.114.114等地址。

2. 用户及时修改家用路由器的出厂密码，且不要设置简单密码并定期更新，避免黑客可轻易访问路由器并进行恶意操作。

3.CNCERT后续将密切监测和关注相关情况。如需技术支援，请联系 CNCERT。电子邮箱：cncert@cert.org.cn。

那么问题来了，主要有以下三大问题：

怎么看电脑DNS是否被劫持？

1.在电脑桌面右下角的网络图标上点击鼠标右键，在弹出的选项中，点击“打开网络和共享中心”。

2.在打开的网络和共享中心，点击已经连接的网络名称，之后会打开网络状态

3.然后点击网络状态下面的“属性”，在弹出的网络属性对话框，先选中“Internet版本协议4(TCP/IPv4)”，然后再点击下方的“属性”。

4.即可看到电脑设置的DNS地址，如果自己之前没有设置过，默认是自动获取的，如果之前为设置过电脑DNS地址，但这里显示是手动设置的陌生DNS地址，则说明电脑DNS地址遭篡改。

如果确认电脑DNS地址遭到篡改，可以改成自动获取，然后点击底部的“确定”保存即可。

怎么看路由器DNS是否被劫持？

1.首先在浏览器打开路由器登陆地址192.168.1.1（不同品牌路由器默认地址可能不同），然后使用管理员账号登陆。

2.登陆路由器后台管理界面后，点击进入【网络参数】下面的“WAN口”设置，在WAN口设置右侧界面，点击底部的“高级设置”。

3.在打开的PPPoE高级设置界面，即可看到路由器默认的DNS地址。如果与电脑设置一样，这个DNS出现手动设置，并且这个不是你自己此前设置的DNS地址的话，则说明路由器DNS遭到劫持。需将手动设置DNS服务器前面的勾去掉，改为自动获取，并更改路由器密码，完成后重启路由器。

如何手动修改路由器的DNS地址？

1.Windows键+R键呼出运行，输入cmd回车，之后再输入命令ipconfig/all点击回车，便可查看自己的DNS地址；

2.打开浏览器在网址一栏，输入路由器的后台地址（例如192.168.1.1），登录设置页面，找到“DHCP”选项设置（因不同品牌路由，DHCP设置项具体位置稍有不同），填写主DNS服务器为114.114.114.114，保存即可。

3.还可以利用一些PC安全工具，比如QQ电脑管家，360安全卫士等，在工具箱中会找到DNS优选，打开DNS优选进行检测。

如果电脑受到DNS攻击或威胁，可以选择一键修复或者还原最初DNS。

DNS安全之路危机重重

当然，还有更为恶劣的情况，就是你设置了正确可靠的DNS服务器后，仍不能解析到正确的IP地址。这部分网站无法访问的原因是网站域名解析错误，存在以下几种可能：

1．黑客攻击国外根服务器，造成国内服务器域名解析遭到污染；

2．由于数据传输过程中网络节点较多，节点也可能成为攻击目标；

3．黑客在攻击单个网站的时候，因为节点较多，导致节点污染，从而影响了全网；

4．运营商开始普及IPv6地址，而IPv6地址都是公网IP，所以更容易被黑产利用。

据媒体报道，IPv6网络让所有本来受IPv4的NAT保护的家用路由器暴露在公网上，存在漏洞的家用路由器可以直接被渗透，导致节点污染从而影响了全网，这就导致了网络罪犯可以利用路由器的高位漏洞。

比如，安全研究人员发现，台湾合勤科技、德国Speedport等公司的路由器产品，存在7547端口对外开放的现象，攻击者可以通过发送基于TR-069和TR-064协议的指令利用漏洞，存在漏洞的路由器可能多达数百万部。

前不久，德国电信向客户提供的路由器就遭到了攻击，多达90万客户受到影响，他们需要重启路由器接收紧急补丁。

物联网搜索引擎Shodan报告称，有4100万设备开放了7547端口，有大约500万设备暴露了TR-064服务，而TR-064在设置NTP时间服务时存在命令注入漏洞，攻击者通过对7547端口发送特定命令的数据包，开启防火墙80端口，使得攻击者可以远程访问网络管理界面。

狗哥不由担心，目前我国正大规模推进IPv6部署，所以这方面的技术风险需要高度关注。这也就寄希望于网安同仁们加强警戒，提高防范。

其实，我国早就重视DNS劫持安全问题，2018年12月25日，最高人民法院发布一批依法严惩网络犯罪指导性案例中，付宣豪、黄子超“DNS劫持”案，是我国第一起因为“流量劫持”而被判刑的案件。

2013年底至2014年10月，被告人付宣豪、黄子超等人租赁多台服务器，使用恶意代码修改互联网用户路由器的DNS设置，进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站。被告人付宣豪、黄子超等人再将获取的互联网用户流量出售给杭州久尚科技有限公司（系“5w.com”导航网站所有者），违法所得超75万元。

以往诸如“DNS劫持”这样的“流量劫持”案件大多以不正当竞争案处理，且此后的类似刑事案件往往不同法院判处不同罪名。但此次最高法发布指导性案例，可谓对“流量劫持”刑案定罪一锤定音。

最高人民法院研究室副主任周加海介绍，最高法院正在就拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪这三个《刑法修正案（九）》新增的新型网络犯罪，起草制定司法解释，并且已经基本完成了调研和征求意见工作，预计在2019年上半年就可以正式对外发布。

愿上网无忧，天下太平。虽任重道远，但必有网安同仁志士一往无前！