路由器DNS劫持防范分析

路由器DNS劫持变的越来越普遍。目前来说，这种技术是比较高端的一种方式，非接触随时可控，可以直接劫持你的站点跳转到一些非可信网站。一般用户很难觉察到，就算觉察到了取证举报更难。所以，我们有必要利用简单的篇幅给大家做一些演示，其实只要明白它的劫持原理，那么防范也并不复杂。

首先，对于路由器DNS的配置需要明确两点：

1. 目前市面上大部分家用路由器都是默认开启DHCP协议，配置运营商的DNS服务器IP。
2. 很多企事业单位为了便于运维管理，配置了DHCP地址池，并添加了可信DNS服务器列表。

路由器DNS劫持是较小范围的劫持，只有配置了DHCP协议的用户终端，接入被篡改DNS列表配置的路由器后才能实现劫持。

然而，一旦在通过漏洞获得路由器的登录权限后，就可以很容易通过篡改DNS服务器IP列表的方式，造成DNS劫持。

首先，我们看一下企、事业单位网络常用的DNS中继示意图。

图1

为清晰明了，也同时贴出路由器DHCP和DNS的配置。

#
dhcp enable
dhcp check dhcp-rate enable
dhcp check dhcp-rate 90
#
dhcp server ping packet 10
dhcp server ping timeout 100
# 
ip pool net1
 gateway-list 10.1.2.1 
 network 10.1.2.0 mask 255.255.255.0 
 excluded-ip-address 10.1.2.254 
 dns-list 10.20.1.2  # DNS服务器的IP为10.20.1.2 
#
ip pool net2
 gateway-list 10.1.3.1 
 network 10.1.3.0 mask 255.255.255.0 
 excluded-ip-address 10.1.3.254 
 dns-list 10.20.1.2 # DNS服务器的IP为10.20.1.2
#

注意：配置中的dns-list 10.20.1.2命令，只要修改此处IP为非可信IP，即可引流整网的DNS请求到指定的IP。

如下图：左侧是可信DNS服务器，右侧是非可信DNS服务器。

图2

如果用户通过非可信DNS服务器解析，DNS被劫持了，对他来说，谷歌IP就是8.8.88.8，就这么简单。

至于防范的方法，管理员只要登录到相关的路由器，检查以上配置情况。

如果发现被劫持，一是要做好设备的漏洞修复工作，二是要修改管理员密码和相关配置。防范就完成了。