高登討論區DNS hijacking劫持(騎劫/綁架)

發表留言 人氣: 1842°c

最近,有巴打在高登討論區求救,指自己用 Windows 機、Mac 機、iPad 開網頁時,經常無故自動轉至淘寶旗下的聚划算,懷疑是 Router (路由器) 或電腦出問題。向大家介紹和分析當中可能成因及自救方法。

可能原因:DNS hijacking 即是被劫持(騎劫/綁架)

出現以上情況,當然有很多的可能性,如電腦中毒、被植入木馬甚至是 ISP 端的問題,但當中最大可能是 Router (路由器) 或電腦端原有的 DNS 伺服器設定被劫持(騎劫/綁架)或修改,以致連接網頁時,可能被轉至黑客目標網頁。DNS 全寫 Domain Name System,它是一套網域名稱系統,將網域名稱及 IP 位址相互對照。簡單來說,各位在瀏覽器輸入網址如 「www.domain.com」 時,系統就會向 DNS 伺服器查詢它所相對應的 IP 位址,才能以 IP 位址作正常連接。


有巴打在高登討論區求救。


DNS 伺服器提供名稱及 IP 位址相互對照。

後果:重要資料被盜

在家用環境中,路由器及電腦端都可有獨立 DNS 伺服器設定,而一般會自動使用 ISP 所提供的 DNS 伺服器。不過,當 DNS 伺服器設定被黑客所劫持(騎劫/綁架)及修改後 (DNS Hijacking),用家在瀏覽器輸入任何網址時,就會向黑客 DNS 伺服器查詢,這時它會回答他想你連接,可能廣告網頁的 IP 位址,這樣就會自動跳至黑客的目標網頁。除上網被強制跳至指目網頁外,更嚴重可能將所有連線轉至黑客的伺服器,再連至真正的網站,而閣下提交的資料就可能被盜取。


DNS hijacking 被劫持(騎劫/綁架)的解救辦法

Step 1:檢查路由器設定

第一步驟是從路由器設定着手,登入路由器 (一般為 http://192.168.0.1http://192.168.1.1 ),查看路由器 DNS 設定是否被手動更改,一般路由器設定多在 「WAN」或「Internet Setting」分頁之內。如發現被修改至不名 IP 位址,可改為自動,或使用 Google DNS IP ( 8.8.8.8 / 8.8.4.4),然後儲存並重啟路由器。

Step 2:檢查電腦 DNS 設定

如已更新路由器設定後,問題仍未能解決,或是只有個別電腦出現問題,則可能是個別電腦的 DNS 設定出問題。這時,就需到每部電腦逐一檢查,以《Windows 10》為例,用滑鼠右鍵點擊左下角開始,選擇「執行」,輸入 「regedit」及「確定」,尋找「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters」,檢查 「DhcpNameServer」 及 「NameServer」數據,如發現不正常 IP 位址,則可將它改為 Google DNS IP ( 8.8.8.8 / 8.8.4.4),然後儲存並重啟電腦。

相關文章:
DNS hijacking與DNS cache pollution的區別

標籤: | 短網址