一个DNS故障引发的血案(DNS本地劫持病毒)

故障现象：

一台单机（PC1）通过RouterOS做的软路由接入互联网，RouterOS上启用DNS 服务转发,并定义了几个本地静态DNS解析，但某日突然发现PC1对这几个静态DNS的解析均出现了错误和故障，而其他机器PCn则工作正常，检查RouterOS 配置正常,PC1上的IPConfig检查正常。

分析：

使用Wireshark在PC1上抓取所有dns包分析发现，PC1把DNS解析请求发送到一个没见过的地址(85.255.114.83)，这个地址我从来没有配置和使用过。

怀疑病毒或者某种DNS劫持… 尝试病毒木马检测..搜索类似情况..无果

进一步分析DNS….

nslookup –d [其他的参数] 目标域名 [指定的服务器地址]

RouterOS对nslookup好像不能正常支持，虽然ping可以解析，但是nslookup 有时返回

DNS request timed out.

timeout was 2 seconds.

*** Request to UnKnown timed-out

原因未知…放弃nslookup

继续搜索查找分析…

网上有信息指出85.255.112.0 - 85.255.127.255这段IP是病毒和垃圾信息发布的主机集中地，建议采取措施屏蔽

发现360无法下载更新，基本可以确定是病毒或者木马

PC1安装的是ESET SC 3.0.669(NOD32) + 360安全卫士均为检测到异常

继续搜索查找分析…

接近结果了，初步定位为：Zlob.DNS Changer 病毒

资料：https://www.360docs.net/doc/c02581422.html,/malpedia/remove-zlob-dns-changer

资料：https://www.360docs.net/doc/c02581422.html,/archives/3850

一个比较粗糙的测试你是否感染了这个病毒的方法是： windows: 开始 > 运行 > 输入C:\resycled 如果能够找到并打开这个文件夹，基本上可以确定你已经中招了。

尝试清除病毒…

> AVG Anti-Spyware 7.5 检测不到

> Exterminate It! 可以检测到，但是免费版不能清除

> Remove Zlob DNSChanger

https://www.360docs.net/doc/c02581422.html,/glossary_details.php?ID=133585

这个实际上是 Antispyware ,检测不到，但是检测出了一堆其它的问题，怀疑有误报，而且把 c:\Program Files\tencent整个目录都报错，还有个QQPass,不会是真的有问题，汗！！回头再查这个

再汗，这个Antispyware 居然被Exterminate It! 报为ADware

最终解决

手动删除，使用其它启动方式进入Dos或者Windows PE操作系统，

1 删除以下2个文件，这个关键步骤，这2个文件再感染系统中通过任何方式都看不到，删除不了，只能使用其它独立系统删除

%systemroot%/system32/msqpdxeqmrnddg.dll

%systemroot%/system32/Drivers/msqpdxobkinfee.sys

2 删除相关注册表，及其它文件，具体可以参考 Exterminate It! 的检测结果和上述资料，我怀疑这个病毒再不同机器上的感染路径是有变化的，以下我的结果，仅供参考：

这个病毒比较接近这个名称（ Zlob.DNS Changer ），特点是

A）感染系统后留下的痕迹很少，仅仅在驱动级对DNS进行了劫持，而且这个劫持在系统任何地方都看不出来(IPConfig 显示信息正常)，不影响系统正常使用，如果不是我的本地静态域名解析出现问题，如果我没用抓包分析，根本不会发现有问题

B）反查能力很强，大量杀毒软件和工具不能检测到它，可能是刚出现的新变种吧

BTW：我怀疑这个病毒可能是我从一个国外的破解网站下载软件后感染，穷啊，有钱就不用找破解了….

DNS劫持解决方法

说明 我们知道，某些网络运营商为了某些目的，对DNS 进行了某些操作，导致使用ISP 的正常上网设置无法通过域名取得正确的IP 地址。常用的手段有：DNS劫持和DNS污染。DNS劫持和DNS污染在天朝是非常常见的现象。一般情况下输入一个错误或不存在的URL 后，本应该出现404页面，而我们看到的却都是电信、联通等运营商的网址导航页面，正常访问网站时出现电信的小广告，使用了代理却依然无法正常访问某些境外网站，以及最近Google 几乎被彻底封杀、微软OneDrive 打不开，这些都和DNS 有一定关系。 DNS劫持 DNS劫持就是通过劫持了DNS 服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP 地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS 服务器上的数据返回给用户一个错误的查询结果来实现的。 DNS劫持症状：某些地区的用户在成功连接宽带后，首次打开任何页面都指向ISP 提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问Google 域名的时候出现了百度的网站。这些都属于DNS劫持。 DNS污染 DNS污染是一种让一般用户由于得到虚假目标主机IP 而不能与其通信的方法，是一 种DNS 缓存投毒攻击（DNS cache poisoning）。其工作方式是：由于通常的DNS 查询没有任何认证机制，而且DNS 查询通常基于的UDP 是无连接不可靠的协议，因此DNS 的查询非常容易被篡改，通过对UDP 端口53 上的DNS 查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS，Name Server）给查询者返回虚假结果。 DNS污染症状：目前一些在天朝被禁止访问的网站基本都是通过DNS污染来实现的，例如YouTube、Facebook 等网站。 解决方法 对于DNS劫持，可以通过手动更换DNS 服务器为公共DNS解决。 对于DNS污染，可以说，个人用户很难单单靠设置解决，通常可以使用VPN 或者域名远程解析的方法解决，但这大多需要购买付费的VPN 或SSH 等，也可以通过修改Hosts 的方法，手动设置域名正确的IP 地址。

DNS抓包分析

TCP/IP原理与应用课程作业一对DNS域名系统的抓包分析 姓名：XXX 学号：XXXXXXXXXX 学院：计算机科学与工程

一、实验目的 通过网络抓包试验，深刻理解TCP/IP协议簇中DNS域名系统的使用方式与报文具体格式与含义，加强对课程的理解与应用。 二、相关原理 2.1 DNS的定义 DNS 是域名系统(Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS 命名用于Internet 等TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。 2.2 DNS的构成 在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。现在已开始试运行、将来必将代替IPv4的IPV6中，将以128位二进制数表示一个IP地址。 2.3 DNS的查询 DNS查询可以有两种解释，一种是指客户端查询指定DNS服务器上的资源记录（如A记录），另一种是指查询FQDN名的解析过程。 一、查询DNS服务器上的资源记录 您可以在Windows平台下，使用命令行工具，输入nslookup，返回的结果包括域名对应的IP地址（A记录）、别名（CNAME记录）等。除了以上方法外，还可以通过一些DNS查询站点如国外的国内的查询域名的DNS信息。 二、FQDN名的解析过程查询 若想跟踪一个FQDN名的解析过程，在Linux Shell下输入dig www +trace，返回的结果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。 2.4 DNS的报文格式 DNS报文的首部：

X86服务器存储-浪潮Inspur FP5212G2DNS解析失败

FP5212G2浪潮自研power机， 1，web界面下的BMC网络设置同其它浪潮机器一样，启用VLAN401，手动更改hostname，网络获取及DNS查找自动选择eth1_V4网口，网络链路启用自动协商，每个板块更改都要保存设置， 2，shell环境下，IPv4网络开启dhcp，enable 401，网络优先级默认就可以了。3，petiboot已经优化，在界面系统设置sysstem configuration 里面添加了两种接口模式，Hvc0 ipmi/ serial，and tthy1 VGA 选择OK后，需要等待petiboot 更新，重新引导项， DC3205直配浪潮FP5212G2服务器无法进PXE，发现没有支持ppcAMD架构ppc64le镜像 已经联系coobozhang 在部署服务器中添加，这里不做修复！ 下图就是没有ppc64le镜像

鹅埠DC3205‘sideband’机房直配Inspur FP5212G2服务器DNS解析失败 以下为正确图片 接终端进shell环境下，执行ipmitool lan print 查看vlan id 401未enable 执行命令ipmitool lan set 1 vlan id 401 在网卡address source是正常dhcp的情况下，还是没有获取到ip,先不尝试断电！ 我们用ipmitool lan set vlan id off 关闭401 然后用笔记本dhcp让服务器获取到ip，成功！ 通过ip登入bmc的web界面，由于直配新机器还在待检查流程，未初始化掉密码！ 我们直接可通过albert+admin 账户+密码登入进来； 首先查看BMC共享网口切换版本里面的设置（根据实际情况来确认OCP网卡及PCIE网卡设置不一样）

域名劫持的实施步骤

域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器(DNS)，或伪造域名解析服务器(DNS)的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。 域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。 域名劫持一方面可能影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览网页，而用户量较大的网站域名被劫持后恶劣影响会不断扩大;另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。 由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下： 一、获取劫持域名注册信息：

首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。 二、控制该域名的E-MAIL帐号： 此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。 三、修改注册信息： 当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。 四、使用E-MAIL收发确认函： 此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。 如果你挑选域名的时候，发现你想要的域名.com和.cn的后缀都已经被他人注册了，但是这个域名你很喜欢怎么办，那只有换其他的后缀或者是花钱找到所有者去购买域名了。

DNS解析错误详解

DNS解析错误解决办法 在实际应用过程中可能会遇到DNS解析错误的问题，就是说当我们访问一个域名时无法完成将其解析到IP地址的工作，而直接输入网站IP却可以正常访问，这就是因为DNS 解析出现故障造成的。这个现象发生的机率比较大，所以本文将从零起步教给各位读者一些基本的排除DNS解析错误的方法。 一、什么是DNS解错误？ 一般来说像我们访问的https://www.360docs.net/doc/c02581422.html,，这些地址都叫做域名，而众所周知网络中的任何一个主机都是IP地址来标识的，也就是说只有知道了这个站点的IP地址才能够成功实现访问操作。 不过由于IP地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们这需要输入这个好记忆的域名即可，网络中会存在着自动将相应的域名解析成IP地址的服务器，这就是DNS服务器。能够实现DNS解析功能的机器可以是自己的计算机也可以是网络中的一台计算机，不过当DNS解析出现错误，例如把一个域名解析成一个错误的IP 地址，或者根本不知道某个域名对应的IP地址是什么时，

我们就无法通过域名访问相应的站点了，这就是DNS解析错误。 出现DNS解析错误最大的症状就是访问站点对应的IP地址没有问题，然而访问他的域名就会出现错误。 二、如何解决DNS解析错误： 当我们的计算机出现了DNS解析错误后不要着急，解决的方法也很简单。 （1）用nslookup来判断是否真的是DNS解析错误： 要想百分之百判断是否为DNS解析错误就需要通过系统自带的NSLOOKUP来解决了。 第一步：确认自己的系统是windows 2000和windows xp 以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。 第二步：输入nslookup命令后回车，将进入DNS解析查询界面。

DNS服务器安全问题已很严重

DNS服务器安全问题已很严重 4月7日，在第七届站长大会“域名&IDC产业与发展高峰论坛”上，唯一网络总经理许渊培表示，DNS安全问题已非常严重，唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。 4月7日，在第七届站长大会“域名&IDC产业与发展高峰论坛”上，唯一网络总经理许渊培表示，DNS 安全问题已非常严重，唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。 以下为演讲实录： 今天在这里非常感谢https://www.360docs.net/doc/c02581422.html,给这个机会让我在这里跟大家交流一点关于DNS在保护方面的经验或者说方法。 下面要讲的是近年来域名安全方面的一些比较大的事件。我们目前DNS服务面临的安全挑战。包括我们如何保障DNS服务的安全。唯一网络DNS安全解决方案。 09年的时候有一个非常著名的事件，就是519的事件，主要是因为一些DNSPOD用户，域名互相攻击造成DNSPOD档机，不断地向它进行请求，这些所有请求的压力全部转到运营商的服务器上去，包括南方六省的服务器全部崩溃，造成整个南方六省的断网。在这个事件里面，电信在南方六省的网络基本瘫痪了。包括联通、铁通在内也受了很大的影响。移动互联网的用户相对少一些，所以他们受的影响相对较小。 2010年1月份有一个很大的事件，就是百度的域名被劫持，主要是因为百度的美国运营商因为安全方面的问题，百度的域名DNS被篡改了。整个DNS被换掉以后，访问百度以后是一个被黑客黑掉的页面。2010年另外一个事件，DDOS攻击，最后攻击量达到50G。2012年时候，DDOS攻击，造成Sedo停机3小时，后来官方修复之后也发了公告，包括对域名停放业务的用户一个很大的补偿。 如果一旦DNS出现问题以后，整个互联网就基本上可以说是完全瘫痪了。DNS我们目前为止面临的安全挑战主要有几个方面。第一是软件漏洞。目前作为全球DNS服务软件是最高的使用量，我们目前有13台服务器，主要的漏洞包括缓冲区的移出漏洞，黑客可以使用简单的一个查询的命名，可以让整个服务器档机。借此由此获得整个服务器的权限。 第二个DNS面临的安全问题就是DNS欺骗。常见的几种方式，比如说缓存投毒，包括DNS 劫持。我们用一些特定的方式可以直接修改缓冲区的一些记录，因为主要提供的是DNS的服务，基本上把所有的域名投入缓存，最后已经不可控了。所以关于DNS的安全问题是非常非常严重的。

网页打不开 DNS解析故障轻松解决

大家都听过DNS吧，DNS是个很专业的名词，是因特网的一项核心服务，是域名系统的缩写，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。既然DNS的作用如此强大，你如果出现DNS解析错误，该怎么办呢？今天小编就给大家讲解这一问题，希望对经常从事该工作的朋友们有点帮助。 由于IP地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们这需要输入这个好记忆的域名即可，网络中会存在着自动将相应的域名解析成IP地址的服务器，这就是DNS服务器。能够实现DNS解析功能的机器可以是自己的计算机也可以是网络中的一台计算机，不过当DNS解析出现错误，例如把一个域名解析成一个错误的IP地址，或者根本不知道某个域名对应的IP地址是什么时，我们就无法通过域名访问相应的站点了，这就是DNS解析故障。 出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题，然而访问他的域名就会出现错误。 当我们的计算机出现了DNS解析故障后不要着急，解决的方法也很简单。 （1）用nslookup来判断是否真的是DNS解析故障： 要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。 第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。 第二步：输入nslookup命令后回车，将进入DNS解析查询界面。 第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如笔者的DNS 服务器IP为202.106.0.20。 第四步：接下来输入你无法访问的站点对应的域名。假如不能访问的话，那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds 的提示信息。这说明我们的计算机确实出现了DNS解析故障。 小提示：如果DNS解析正常的话，会反馈回正确的IP地址。

域名劫持的原理和过程

域名解析(DNS)的基本原理是把网络地址(域名，以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址，比如216.239.53.99 这样的形式)，以便计算机能够进一步通信，传递网址和内容等。 由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。 如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌，可以把访问改为http://216.239.53.99/，从而绕开域名劫持。 由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下： 一、获取劫持域名注册信息

首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。 二、控制该域名的E-MAIL帐号 此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。 三、修改注册信息 当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。 四、使用E-MAIL收发确认函 此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。

DNS解析故障自动修复方案

360提供DNS解析故障自动修复方案 2014年01月21日21:23 新浪科技我有话说(8人参 与) 新浪科技讯 1月21日晚间消息，今日下午3点10分开始，国内通用顶级域的根服务器忽然出现异常，导致众多知名网站出现DNS 解析故障，用户无法正常访问。目前虽然国内访问根服务器已恢复，但由于DNS缓存问题，部分地区用户“断网”现象仍将持续数个小时。对此360安全卫士已提供自动化的DNS修复方案，用户可以点击“电脑救援”按钮查找使用。 DNS解析相当于互联网上的导航仪，能够把网站域名分配到对应的IP上。此次DNS故障爆发后，众多知名网站的域名均被劫持到一个错误的IP地址上，至少有2/3的国内网站受到影响。另据微博调查，事故发生期间，超过85%的网友出现网速变慢或打不开网站的情况。 有传言称，此次DNS故障会导致大量用户微博、网银等重要账号被盗。对此360网站安全专家赵武表示，各大知名网站被劫持到一个虚假的IP地址上，目前只会影响网站的正常访问和打开速度，暂时没有出现假冒官网的钓鱼盗号情况。 赵武认为，“全球共有13个根域名服务器，分布在美国、日本和欧洲，我国对根域名则没有掌控权。如果根域名出现问题，将影响

我们所有域名解析和网站访问，因此国内急需建立一套完善的DNS监控及灾备系统。” 尽管国内对根域名服务器的访问已恢复正常，但受到缓存影响，部分地区网民仍无法正常访问网站。对此，赵武建议相关网友把电脑“网络连接-属性-Internet协议版本4”的DNS服务器地址修改为：(电信)101.226.4.6 ，(联通)123.125.81.6，(移动)101.226.4.6，(铁通)101.226.4.6，或者设置为：“8.8.8.8”。 另据赵武介绍，如果用户不会手动设置DNS，也可以点击360安全卫士主界面的“电脑救援”，只要查找DNS关键词，即可一键自动修复，恢复网络的正常访问。(爱文)

DNS出错解决方法

如何解决DNS解析故障： 当我们的计算机出现了DNS解析故障后不要着急，解决的方法也很简单。 （1）用nslookup来判断是否真的是DNS解析故障： 要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。 第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始-》运行-》输入CMD”后回车进入命令行模式。 第二步：输入nslookup命令后回车，将进入DNS解析查询界面。 第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如笔者的Dns服务器IP为202.106.0.20。 第四步：接下来输入你无法访问的站点对应的域名。例如笔者输入https://www.360docs.net/doc/c02581422.html,，假如不能访问的话，那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。 小提示：如果DNS解析正常的话，会反馈回正确的IP地址，例如笔者用https://www.360docs.net/doc/c02581422.html,这个地址进行查询解析，会得到name:https://www.360docs.net/doc/c02581422.html,，addresses：61.135.133.103，61.135.133.104的信息。 2）查询Dns服务器工作是否正常： 这时候我们就要看看自己计算机使用的DNS地址是多少了，并且查询他的运行情况。 第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始-》运行-》输入CMD”后回车进入命令行模式。 第二步：输入ipconfig /all命令来查询网络参数。 第三步：在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS，这个就是我们的DNS服务器地址。例如笔者的是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，我们可以更换一个其他的Dns服务器地址即可解决问题。 第四步：如果在DNS服务器处显示的是自己公司的内部网络地址，那么说明你们公司的DNS 解析工作是交给公司内部的DNS服务器来完成的，这时我们需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。解决Dns服务器上的DNS服务故障，一般来说问题也能够解决。 （3）清除DNS缓存信息法： 当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接Dns服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障。这时我们应该通过清除DNS缓存的命令来解决故障。 第一步：通过“开始-》运行-》输入CMD”进入命令行模式。 第二步：在命令行模式中我们可以看到在ipconfig /？中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令。 第三步：执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。

网页打不开DNS解析故障轻松解决

大家都听过吧，是个很专业地名词，是因特网地一项核心服务，是域名系统地缩写，它作为可以将域名和地址相互映射地一个分布式数据库，能够使人更方便地访问互联网，而不用去记住能够被机器直接读取地数串. 既然地作用如此强大，你如果出现解析错误，该怎么办呢？今天小编就给大家讲解这一问题，希望对经常从事该工作地朋友们有点帮助. 由于地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们这需要输入这个好记忆地域名即可，网络中会存在着自动将相应地域名解析成地址地服务器，这就是服务器.能够实现解析功能地机器可以是自己地计算机也可以是网络中地一台计算机，不过当解析出现错误，例如把一个域名解析成一个错误地地址，或者根本不知道某个域名对应地地址是什么时，我们就无法通过域名访问相应地站点了，这就是解析故障. 出现解析故障最大地症状就是访问站点对应地地址没有问题，然而访问他地域名就会出现错误. 当我们地计算机出现了解析故障后不要着急，解决地方法也很简单. （）用来判断是否真地是解析故障： 要想百分之百判断是否为解析故障就需要通过系统自带地来解决了. 第一步：确认自己地系统是和以上操作系统，然后通过“开始>运行>输入”后回车进入命令行模式. 第二步：输入命令后回车，将进入解析查询界面. 第三步：命令行窗口中会显示出当前系统所使用地服务器地址，例如笔者地服务器为. 第四步：接下来输入你无法访问地站点对应地域名.假如不能访问地话，那么解析应该是不能够正常进行地.我们会收到，地提示信息.这说明我们地计算机确实出现了解析故障.b5E2R. 小提示：如果解析正常地话，会反馈回正确地地址. （）查询服务器工作是否正常： 这时候我们就要看看自己计算机使用地地址是多少了，并且查询他地运行情况. 第一步：确认自己地系统是和以上操作系统，然后通过“开始>运行>输入”后回车进入命令行模式. 第二步：输入命令来查询网络参数.

DNS错误怎么办(如何正确设置DNS)

DNS错误怎么办(如何正确设置DNS) 篇一：dns错误怎么办 dns错误的解决办法 dns错误怎么办 dns错误的解决办法 不知道大家有没有遇到过输入网址打开之后出现网页打不开，提示dns错误的情况，笔者以前遇到不少类似的情况，不过多数是由于以下原则造成的，今天笔者也接到电脑百事网网友的电脑故障求助，一网友最近一两天使用电脑打开一些网页总会出现DNS错误，打不开网页，不知道如何解决。其实出现dns错误的原因有不少，dns错误怎么办？下面编辑与大家介绍下如何解决DNS错误问题。 dns错误怎么办 在前些时候编写为大家介绍过一篇dns是什么 dns服务器是什么？的文章，里面对dns有着比较熟悉的介绍，有兴趣的朋友可以去阅读下，对下面编辑介绍理解有帮助。什么是DNS：DNS是域名系统(Domain Name System) 的缩写，由解析服务器和域名服务器组成。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。可以简单理解为我们电脑访问网站实际是通过网络服务商服务器与网站服务器之间进行数据传输与操作的，但网站服务器只是IP地址，还需要域名服务器来解析，相当于寻找门牌号（这里将网址简单的理解为门牌号）。可能这些东西不好表达，说起来也比较抽象，所以大家只要知道dns作用主要是当我们在上网的时候，通常输入的是网址，其实这就是一个域名，

而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。需要dns解析，才可以使2台计算机进行交流，域名（网址）只是相当与门牌号，只是为了方便记忆而增加的。 dns错误怎么办？ dns错误的原因有不少，但主要由以下原因造成的，大家可以使用排除法。 ⒈电脑中病毒 如果电脑中病毒一般是恶意软件篡改用户主页，劫持电脑dns 等，造成电脑打开知名网站会跳转到其它恶意网站，或者干脆网站都打不开。 解决办法：使用杀毒软件对电脑先进行全盘扫描，查看电脑是否中病毒，是否有杀毒软件相关提示。如果杀毒后网页可以打开，多数是因为病毒原因所导致的。 ⒉网站故障 当发现打开某些网站会出现dns错误，但又有些大站打开一切正常，这种情况多数由于网站域名服务器故障或网站服务器有故障。另外也有一种情况是网络服务商（如电信的网络服务服务器出现故障，也会出现类似情况，主要由于线路堵塞导致，常见某个地方区域网站无法访问，具有区域性，一般这样的情况很少发生）。 解决办法：由于是网站本身的问题，所以我们一般也无法解决，只有等到网站恢复正常才可以访问。 ⒊网络故障

解决电信劫持DNS

中国电信的DNS劫持解决办法时间:2011-08-13 10:06来源:未知作者:admin 点击:166次电信的DNS劫持一般是指电信在对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询 电信的DNS劫持一般是指电信在对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面。 解决DNS劫持的方法： 对于宽带拨号用户来说，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（TCP/IP）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS服务器和备用DNS服务器分别设置为8.8.8.8和8.8.4.4，如下图所示，完成后重新连接上网，就可以摆脱服务商对我们的DNS劫持。 Google DNS服务器 Google今天又给了我们一个惊喜，并沉重的打击了OpenDNS。他们刚刚宣布向所有的互联网用户提供一组快速，安全并且完全免费的DNS解析服务器. 该服务给用户带来的好处是，理论上更快速、更稳定的浏览体验，以及针对恶意网站的更多安全防护；而Google可以通过该服务获得大量的用户数据，以及某些可能的收入。目前Google Public DNS服务尚处于试验阶段，用户如果想使用它，必须修改网络设置，这样他们的网站访问请求才会被转向Google服务而不是ISP商。 Google公司提供的公共DNS服务有些许不同，当你输入一个错误的或者不存在的网址的时候，不会像一般的ISP返回一个错误页面，或是像中国电信一般直接弹出一个满屏都是广告的页面，Google公司承诺绝不会重定或者过滤用户所访问的地址，而且绝无广告。 我想这组IP看过后没有人会忘记吧？各位读者们，赶紧去换DNS服务器吧！ 谷歌公用DNS IP地址: 8.8.8.8 8.8.4.4

192.168.1.1路由器dns被修改的解决方法.doc

192.168.1.1路由器dns被修改的解决方法192.168.1.1路由器dns被修改的解决方法 192.168.1.1路由器dns被修改的解决方法 1、检查路由器DNS地址是否被篡改 路由器被劫持，黑客同样第一步会修改您的路由器DNS地址，只有通过篡改DNS地址，才能控制用户的上网主页，自动跳转网页、插入弹窗广告等。 检查路由器DNS地址是否被篡改请详细阅读：路由器DNS 被篡改怎么办路由器DNS被劫持的解决办法。 2、检查无线连接设备的用户 检查完路由器DNS地址后，我们再登录路由器管理界面，检查下目前连接到无线网络中的设备数量，如下图所示，是笔者的无线路由器中会看到有两个连接用户，由于笔者笔记本电脑和智能手机都连接了无线网络，因此刚好是两个用户，因此可以断定，没有被蹭网。 3、加强无线路由器安全设置 如果路由器DNS地址没有被篡改，并且也没有蹭网现象的话，一般来说您的路由器没有被劫持，但为了安全起见，请注意加强安全防护，重新修改登录地址、复杂的无线密码等。 路由器被劫持怎么办? 如上图，是路由器DNS未被篡改以及遭受窜改的商品搜索网址变化，有问题的是正常的为s.taobao而有时候，如果路由器DNS遭受篡改后，我们搜索商品的网址前面就变成S8.taobao了，这里显示是有问题的。那么路由器DNS被篡改怎么办呢?其实也很简单，我们只需要进入路由器设置里边检查下DNS是否遭劫持篡改，如果有，改成自动获取即可，另外为了防止路由器DNS 后期再遭劫持与篡改，我们要及时修改路由器登录密码。

路由器DNS被篡改的解决办法 1、首先登陆路由器的设置页面，方法是打开浏览器，然后在网址栏里输入192.168.1.1，然后按回车键，确认打开，之后会弹出登录界面，我们输入用户名与密码邓丽即可，(默认用户名和密码均为admin，如果之前有修改，请以修改的为准)，如下图： 2、输入完路由器用户名与密码，点击底部的确认，即可登录路由器管理界面了，然后我们再点击左侧网络参数展开更多设置，之后即可看到WAN口设置选项了，我们再点击左侧的WAN口设置可以显示当前拨号连接的状态如下图： 3、如上图，我们再点击路由器WAN口设置界面底部的高级设置，如下图箭头所指位置。点击高级设置后，即可进入路由器DNS设置界面了，如下图： 从上图中，我们明显可以看出路由器DNS地址遭受篡改，因为路由器默认设置中，DNS地址均为自动获取，而从上图中，我们可以看到其DNS地址勾选上了手动设置，并且填写上了一些被篡改的DNS地址。 4、那么该如何操作呢?放大很简单，我们只需将下面的DNS 服务器与备用DNS服务器地址改成正常的，当然你也可以将其去掉，然后将手动设置DNS服务器前面的勾去掉，然后点击下方的保存即可，如下图： 通过以上操作就可以实现到路由器默认DNS设置了，去掉手动就代表路由器DNS地址将又路由器自动获取，它会自动获取到离你最近的服务商的DNS地址。

如何解决DNS解析错误

如何解决DNS解析错误 1：更换本地DNS的方法 目前国内电信运营商通过使用DNS劫持的方法，干扰用户正常上网，使得用户无法访问，（例如弹出广告窗口），所以我一直在使用Google DNS，不仅可以解决中国的电信运营商的流氓行为，还可以解决域名无法访问的情况。 小技巧：点击开始->设置->网络连接->本地连接->属性->TCP/IP协议->使用下面的DNS服务器地址，在框中输入“8.8.8.8”和“8.8.4.4”断开，从新连接网络即可，并且没有电信、联通（原网通）等DNS劫持问题。 2：修改HOSTS文件的方法 如果我们希望把某个域名与某个IP绑定，就可以通过修改HOSTS文件的办法：“开始->搜索”，然后查找名叫hosts的文件。或路径为 c:\windows\system32\drivers\etc都可。用记事本打开，在下面加入要解析的IP 和域名即可。（修改HOSTS文件则是在实在没有办法的时候在用） 小知识：每个windows系统都有个HOSTS文件，它的作用是加快域名解析，方便局域网用户，屏蔽网站，顺利连接系统等功能。 3：清除DNS缓存信息的方法 “开始->运行->输入CMD”，在ipconfig /?中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令，执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被 成功清除。接下来所有的DNS缓存都会重新加载。 小知识：DNS解析就是把你的域名解析成一个ip地址，服务商提供的dns解析就是能够将你的域名解析成相应ip地址的主机。这就是DNS域名解析。 关于DNS域名解析就写到这里了，虽然问题还没有解决，但从中确实也了解了不少DNS的知识，特地分享出来，如果以后哪位遇到这样的问题（最好别遇到），能顺利解决是最好的了。

squid透明代理 DNS劫持示例

squid透明代理DNS劫持示例 squid透明代理+DNS劫持示例 DNS上的设置: 假设主DNS是1.1.1.1,辅DNS是2.2.2.2; DNS上做: 1.因为可能添加很多域名,所以做好在named.conf里添加这行: include "hijack.list" 2.hijack.list里包含类似如下的内容: 主DNS上为: zone "https://www.360docs.net/doc/c02581422.html," { type master; #在从DNS上相应地是slave file "https://www.360docs.net/doc/c02581422.html,mon"; #每个添加的域名都包含相同的文件

allow-transfer { 2.2.2.2; }; #从DNS的IP }; 辅DNS上相应地是: zone "https://www.360docs.net/doc/c02581422.html," { type slave; file "https://www.360docs.net/doc/c02581422.html,mon"; masters { 1.1.1.1; }; }; https://www.360docs.net/doc/c02581422.html,mon的内容如下: $TTL 180 @ IN SOA https://www.360docs.net/doc/c02581422.html,. https://www.360docs.net/doc/c02581422.html,. ( 2009090403 ; serial 3600 ; refresh 900 ; retry 360000 ; expire 3600 ) ; minimum @ IN NS https://www.360docs.net/doc/c02581422.html,. @ IN NS https://www.360docs.net/doc/c02581422.html,. @ IN A 150.164.100.65

* IN A 150.164.100.65 @ IN A 150.164.100.66 * IN A 150.164.100.66 @ IN A 150.164.100.67 * IN A 150.164.100.67 有很多机器时可依次添加. SQUID里的主要设置: 给squid用的DNS不能是上面配置的DNS,否则会出现回环. 需要给squid别的能正常 解析的DNS,或者在此DNS上面配置不同的view,此view只配置hint记录就行; http_access allow all http_port 80 transparent # 表示透明代理 cache_dir null /tmp #logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A % mt access_log syslog:https://www.360docs.net/doc/c02581422.html, squid

DNS安全问题及解决方案

DNS安全问题及防范方案 06网络1班杨晔06139009 一、引言 DNS服务是Internet的基本支撑，其安全问题具有举足轻重的地位。如今，DNS正面临拒绝服务、缓冲区中毒、区域信息的泄露等众多威胁。 2009年5月19日晚，黑客通过僵尸网络控制下的DDoS 攻击，致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障，即“5〃19断网事件”。在这一事件中，DNS服务的脆弱性是问题产生的关键。这一事件说明：作为互联网基础服务的DNS，每天都有海量的域名解析信息产生，其个体的安全性已经直接影响着互联网的安全。 本文分析了DNS服务所面临的安全问题，并提出了相应的一些解决或者防范方案。 二、DNS存在的安全问题 1、DNS自身的不安全因素 DNS由于早期设计上的缺陷为日后的应用埋下了安全隐患。因为过于强调对网络的适应性，采用了面向非连接的UDP协议，但UDP协议本身是不安全的。而且从体系结构上来看，DNS采用树形结构，虽然便于查询操作，但是单点故障非常明显，也使得安全威胁加剧。

另外，绝大多数DNS服务器都是基于BIND这个软件，但是BIND在提供高效服务的同时也存在着众多的安全性漏洞。这里构成严重威胁的主要有两种漏洞： 一种是缓冲区溢出漏洞，如BIND4和BIND8中存在一个远程缓冲溢出缺陷，该缺陷使得攻击者可以在DNS上运行任意指令。 另一种是拒绝服务漏洞，受攻击后DNS服务器不能提供正常服务，使得其所辖的子网无法正常工作。 2、DNS服务面临的攻击 2.1 拒绝服务攻击 DNS服务器的关键地位使它成为网络攻击的显著目标，加上其对拒绝服务攻击没有防御能力，所以在现有的树状结构下，一旦DNS服务器不能提供服务，其所辖的子域都无法解析域名，仅能通过难以记忆的IP地址访问网络，对多数网络用户而言，无法接入网络，甚至还会被利用来对其他主机进行反弹式DDoS攻击。 2.2 缓冲区中毒 DNS为了提高查询的效率，采用缓存机制，在DNS缓存数据还没有过期之前，在DNS的缓存区中已存在的记录一旦被库户查询，DNS服务器将把缓存区中的记录直接返回客户。DNS缓存区中毒就是利用了DNS的缓存机制，在缓存区中存入错误的数据使其被其他查询客户所获得。在缓存

简单设置DNS 防止被电信服务商DNS劫持

简单设置DNS 防止被电信服务商DNS劫持 DNS（Domain Name System）是域名解析服务器的意思，它在互联网的作用是把域名转换成为网络可以识别的IP地址。当用户在浏览器中输入网址域名时，首先就会访问系统设置的DNS域名解析服务器（通常由ISP运营商如电信、联通提供）。如果该服务器内保存着该域名对应的IP 信息，则直接返回该信息供用户访问网站。否则，就会向上级DNS逐层查找该域名的对应数据。 目前国内上网用户普遍使用的是默认DNS服务器，即电信运营商的DNS服务，这带来一个巨大的风险，就是DNS劫持。目前国内电信运营商普遍采用DNS劫持的方法，干扰用户正常上网，例如，当用户访问一个不存在（或者被封）的网站，电信运营商就会把用户劫持到一个满屏都是广告的页面：电信114互联星空网站，这个114网站不仅搜索质量低劣，而且广告众多，极大的影响了用户上网的安全性和浏览体验。后来，电信运营商的胆子越来越大，甚至连Google的网站电信都敢劫持，这进一步证明了电信运营商的DNS服务可靠性是多么糟糕。 因此，我以前曾经强烈建议网友使用国外DNS解析服务器，例如OpenDNS的免费DNS服务，他们的DNS为208.67.222.222和208.67.220.220，以免被中国电信劫持。 但OpenDNS有两个缺点，一是OpenDNS的服务器在美国，使用的人多了有可能会速度变慢，没有国内的DNS速度快，二是OpenDNS 的IP地址不太好记，容易忘。 现在，中国网民的福音终于到了，Google面对大众推出了免费的公共DNS系统，Google表示推出免费DNS的主要目的就是为了改进网络浏览速度，为此Google对DNS服务器技术进行了改进，通过采用预获取技术提升性能，同时保证DNS服务的安全性和准确性。普通用户要使用Google DNS非常简单，因为Google为他们的DNS服务器选择了两个非常简单易记的IP地址：“8.8.8.8”和“8.8.4.4”。用户只要在系统的网络设置中选择这两个地址为DNS服务器即可。使用方法非常简单，对于宽带拨号用户来说，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（TCP/IP）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS 服务器和备用DNS服务器分别设置为 8.8.8.8和8.8.4.4，如下图所示，完成后重新连接上网即可。

局域网中DNS无法解析解决方法

局域网中DNS无法解析解决方法 如果我们ping网关是通的，但网页打不开，提示DNS无法解析，先不要着急，解决的方法很简单： 1.用nslookup来判断是否真的是DNS解析故障： 第一步：系统要是windows2000和XP以上，然后在运行对话框中输入cmd后回车进入命令行模式。 第二步：输入nslookup命令回车，进入DNS解析查询界面。 第三步：命令行中会显示当前系统所使用的DNS服务器地址。如：本人是202.100.64.68 第四步：这下我们可以输入所要访问的站点对应的域名。如https://www.360docs.net/doc/c02581422.html,，不能解析会显示DNS request timed out这样的提示信息。这说明算机确实出现了DNS解析故障。反馈正确的IP地址会得到Aliases:https://www.360docs.net/doc/c02581422.html,,addresses：119.75.218.77/119.75.217.56。 2.可以用ipconfig/all查询DNS服务器工作是否正常。 3. 清除DNS缓存 当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对改域名访问时仍然不会连接DNS服务器最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就造成DNS解析故障。 我们可以在命令提示符窗口中用ipconfig/flushdns清除。当出现“Successfully flushed the dns resolver cache“说明缓存信息已经被成功清除。 4.可以打开hosts文件查询DNS解析对应的关系。 5.运行cmd，输入netsh winsock reset catalog netsh in ip reset 重启计算机。再输入ipconfig/all查看Windows IP 配置。 到这一步应该OK了。