你中招了吗!腾讯:国内大量家用路由器遭DNS劫持 教你自查
快科技讯8月9日消息,今日,腾讯云DNSPod公众号发布消息,称近期监测到大量家用路由器的DNS解析配置被篡改,从而影响到了正常的网站和APP访问。。据报道,这种情况从2024年5月开始出现,集中疫情在8月5日达到高峰。
截至8月7日,经测试确认,导致此次故障大规模爆发的域名已在异常的DNS服务器上恢复。
但由于TTL和客户端本地缓存的影响,客户端的恢复时间会有一定的滞后。
据了解,正常情况下,用户访问网站或APP时,都会向DNS服务器发送请求,解析网站域名对应的IP地址。
DNS服务器返回正确的IP地址,用户设备与目标服务器建立连接并访问网站。
然而,在DNS劫持攻击中,恶意DNS服务器会返回错误的IP地址,导致用户访问错误的网站或无法访问目标网站。
腾讯还给出了如何自检路由器DNS是否被修改的方法。
首先检查路由器的主DNS配置是否修改为类似以下IP(包括但不限于以下IP),如果被修改为了以下 IP,并且辅DNS被改为1.1.1.1,基本可以确定家用路由器DNS被劫持篡改。
如果路由器上配置的DNS服务器IP不在上述列表中,用户可以通过以下典型特征确认其DNS劫持行为。
1、域名解析记录TTL被修改为86400秒,即域名解析记录都会被缓存1天。可以在可以访问公网的终端(如Mac电脑或Linux云服务器)执行命令检查:dig @122.9.187.125dnspod.cn
其中122.9.187.125为示例IP地址,用户可以将其替换为家庭路由器DNS服务器的IP地址。
2、间歇性存在大量域名无法正常解析的问题,返回NXDOMAIN+错误的SOA记录,而不是返回正常的A记录或者CNAME记录。可执行命令检查:dig @122.9.187.125test.ip.dnspod.net
其中122.9.187.125为示例IP地址,用户可以将其替换为家庭路由器的DNS服务器的IP地址。
3、DNS版本为unbound 1.16.2。可执行命令检查:dig @122.9.187.125 version.bind Chaos txt
其中122.9.187.125为示例IP地址,用户可以将其替换为家庭路由器DNS服务器的IP地址。
如果您确认遇到上述情况,请拨打建议升级家用路由器固件,并修改DNS服务器为运营商递归DNS或119.29.29.29等知名公共DNS,以确保能够正常解析。
