8 月 9 日訊息,騰訊雲端 DNSPod 官方今日發文,表示監測到國內大量家用路由器的 DNS 解析配置被篡改,從而影響到了正常的網站和 App 訪問。該情況於2024 年5 月開始出現,於8 月5 日集中爆發達到峰值,截至8 月7 日,經過測試確認,導致本次故障大規模爆發的域名在異常DNS 伺服器上已經恢復,但受TTL及客戶端本地快取的影響,客戶端的恢復時間會有一定的延遲性。正常情況下,使用者造訪網站或 App 時,會向 DNS 伺服器發送請求,解析網站網域名稱對應的 IP 位址。 DNS 伺服器會傳回正確的 IP 位址,使用者的裝置與目標伺服器建立連線並存取網站。
但在 DNS 劫持攻擊中,惡意 DNS 伺服器會傳回錯誤的 IP 位址,導致使用者造訪錯誤的網站或無法存取目標網站。
騰訊雲官方給出了自查方案,總結如下:
首先檢查您的路由器的主DNS 配置是否被修改為了類似以下IP(包括但不限於以下IP),如果被修改為了以下IP,並且輔DNS 被改為1.1.1.1,基本上可以確定您的家用路由器DNS 被劫持篡改。
- 122.9.187.125
- 8.140.21.95
- 101.37.71.80
- 101.37.71.80
- .55.110
- 47.109.22.11
- 47.113.115.236
- 47.109.47.151
- 47.108.388. 🎜>
47.103 .220.247- 139.196.219.223
- 121.43.166.60
- 106.15.3.166.60
- 106.15.3.137您的路由器清單中,您可透過以下典型特徵來確認其DNS 劫持行為:
- 一、網域解析記錄TTL 被修改為86400 秒,即網域解析記錄都會被快取1 天。可在一台能存取公網的終端機(如 Mac 電腦或 Linux 雲端伺服器)中執行指令檢查:dig @122.9.187.125dnspod.cn。其中 122.9.187.125 為範例 IP 位址,您可將其替換為您的家用路由器 DNS 伺服器的 IP 位址。
二、間歇性存在大量網域無法正常解析的問題,傳回 NXDOMAIN+ 錯誤的 SOA 記錄,而不是傳回正常的 A 記錄或 CNAME 記錄。可執行以下指令檢查:
dig @122.9.187.125 test.ip.dnspod.net
其中122.9.187.125 為範例IP 位址,您可將其替換為您的家用路由器DNS伺服器的IP 位址。
三、DNS 版本為 unbound 1.16.2。可執行指令檢查:dig @122.9.187.125 version.bind chaos txt。其中 122.9.187.125 為範例 IP 位址,您可將其替換為您的家用路由器 DNS 伺服器的 IP 位址。
如果確認自己已遇到了上述情況,騰訊雲建議家用路由器用戶升級家用路由器固件,並修改DNS 伺服器為運營商遞歸DNS 或119.29.29.29 等知名公共DNS,以確保能夠正常解析。
以上是騰訊雲:監測國內大量家用路由器遭 DNS 劫持,伺服器端現已恢復的詳細內容。更多資訊請關注PHP中文網其他相關文章!
