什么是 DNS 中毒以及如何保护您的数据

DNS 中毒或 DNS 缓存中毒是一种网络攻击，黑客会更改 DNS（域名系统）条目，将您重定向到冒充合法网站的恶意网站。您的浏览器在不知不觉中访问了虚假网站，然后缓存了恶意 IP 地址以供将来访问。

这些更改的 DNS 条目会导致黑客设计的网站看起来像预期的目的地。这些网站可能会窃取密码或财务数据等敏感信息，或者在您的设备上安装蠕虫或病毒。

DNS 中毒会将用户重定向到恶意站点。

域名系统是指将域名（如 avast.com）转换为浏览器访问网站所需的 IP 地址的系统。当您首次访问某个网站时，您的浏览器会与 DNS 服务器进行通信，该服务器充当您的设备与网站的权威名称服务器之间的中介。然后，DNS 服务器会缓存该 IP 地址，以便将来访问时更快地访问。

DNS欺骗是网络安全攻击的一大类，黑客会更改 DNS 记录以导致虚假和恶意网站的出现。

DNS 中毒是 DNS 欺骗的一种。欺骗性的 DNS 条目由您的网络浏览器缓存，这会“毒害”您的 DNS 缓存。每当您尝试访问合法网站时，您的浏览器将继续引用欺骗性的 DNS 条目。

DNS 中毒是如何运作的？

DNS 中毒利用 DNS 服务器缓存系统中的漏洞。通常，您的浏览器会缓存（保存）网站的 IP 地址，以便将来更快地访问。通过 DNS 中毒，您的浏览器会无意中缓存导致恶意站点的欺骗性 DNS 条目。

DNS 中毒有多种方式。以下是一些常见的黑客策略：

• 中间人攻击（MITM）：黑客进入您的浏览器和 DNS 服务器之间，并拦截两者。他们在您的设备上执行 DNS 缓存投毒攻击，同时服务器对 DNS 服务器投毒。这会导致您被重定向到由黑客控制的恶意网站。

• DNS服务器劫持：黑客更改 DNS 服务器以将所有请求重新路由到欺骗网站。一旦伪造的 DNS 条目插入服务器，每个向该服务器查询特定域的用户都将被引导至黑客控制下的恶意站点。

• 通过网络钓鱼造成的 DNS 中毒：攻击者发送包含触发 DNS 缓存中毒的 URL 链接的网络钓鱼电子邮件。横幅广告和图像也可以用作攻击媒介。一旦中毒，您的浏览器会将您带到可能包含恶意软件（例如病毒）的冒名顶替网站。

DNS 中毒涉及网络浏览器的缓存，但黑客可以通过更多方式利用 DNS。以下是一些其他 DNS 欺骗策略：

• 冒充服务器：您输入一个网址，您的 DNS 会请求该站点服务器的 IP 地址。如果黑客在合法服务器之前响应请求，他们可能会将您引导至恶意网站。

• DNS 泛洪：黑客可能会向 DNS 服务器发送大量请求和伪造的响应，使其不堪重负。逐渐地，它们取代了根域和整个网站。

• 端口扫描：通过端口扫描，黑客在 DNS 解析器上寻找开放或易受攻击的端口来利用网络或组织。通过利用这些弱点，黑客可以注入虚假的 DNS 条目并定制攻击。

  另请阅读：如何保护云数据并防止数据丢失

DNS中毒的影响

DNS 中毒是一种工具——真正的损害是通过与欺骗性 DNS 条目相关的域欺骗网站造成的。一旦发生 DNS 中毒，您可能会被引导至这些恶意站点，从而带来一系列安全问题。

通过这些网站，黑客可以使用各种恶意软件（例如木马或病毒）感染您的设备。他们可能会诱骗您放弃财务和个人数据，并将其用于盗窃或人肉搜索。

2021 年 9 月，国际网络基准指数报告称，72% 的组织在过去一年中至少经历过一次 DNS 攻击，其中 33% 经历过 DNS 缓存中毒。

DNS 中毒的迹象

如果您是网站所有者，DNS 中毒的一些迹象包括 DNS 请求模式的变化或用户投诉（例如，报告重定向或访问问题）。对于个人来说，一些迹象包括被重定向到不熟悉的网站或在访问网站时看到有关可疑证书的浏览器警告。

如何帮助防止 DNS 中毒

个人可以通过使用 VPN、练习在线安全、更改 DNS 设置、定期清除设备中的 DNS 缓存以及扫描恶意软件以防无意中成为攻击的受害者来帮助防止 DNS 中毒。网站所有者可以通过启用 DNS 安全扩展、配置受信任的 DNS 服务器和培训员工来帮助防止 DNS 中毒攻击。

个人如何帮助防止 DNS 中毒

一般网站访问者可能不知道如何发现可能导致勒索软件和其他恶意软件通过 DNS 欺骗登陆其设备的潜在危险。

以下是您可以如何帮助保护自己的方法：

使用VPN

使用 VPN，您可以帮助避免导致 DNS 缓存中毒的漏洞。与 DNS 代理服务器一样，VPN 使用私有 DNS 服务器。但 VPN 会加密您的所有网络流量，包括 DNS 查询。因此，如果黑客拦截任何敏感数据，这些数据将无法读取，从而阻止潜在的中间人攻击。

无论您购买的是适用于 PC 的 VPN 还是适用于 Mac 的 VPN，您都将显着增强您的隐私，并帮助您的在线流量免受黑客、机构和其他窥探者的侵害。

VPN 会加密您的在线流量，防止黑客攻击。

实践网络安全

确保您了解最新的在线最佳实践。在访问某个网站并可能点击进入虚假网站之前，请先检查该网站是否安全。另外，进入页面后请务必小心，因为恶意网站可能会尝试让您输入个人信息或登录详细信息。

清除 DNS 缓存

通过定期清除 DNS 缓存，您可以清除将您带到恶意网站的虚假 DNS 条目。这是因为清除缓存会强制您的浏览器或设备请求新的 DNS 记录。

DNS 缓存中毒很难检测。同样，间谍软件也依赖于不显眼来监视您的网络活动。如果您怀疑受到感染，请了解如何删除 PC 上的间谍软件。

更改您的 DNS 设置

使用值得信赖的 DNS 提供商有助于减少 DNS 中毒和某些其他在线威胁（例如网络钓鱼）的可能性。一些可靠的提供商是 Google (8.8.8.8) 和 Cloudflare (1.1.1.1)。您可以在设备设置中更新这些内容。为了获得更广泛的保护，请了解如何更改路由器的 DNS 设置。

扫描您的设备是否存在恶意软件

由于并不总是能够防止 DNS 中毒，因此您应该定期扫描设备以帮助检测威胁并最大程度地减少造成的损害。全面的病毒清除工具可以清除您设备上的病毒和其他恶意软件。

Avast One 防病毒软件扫描笔记本电脑是否存在恶意软件。

为了首先帮助您的设备远离恶意软件，请使用我们免费的 Avast One 软件，该软件适用于 PC、Mac、Android、iPhone 和 iPad。

网站所有者如何帮助防止 DNS 中毒

网站所有者需要采取适当的安全措施，以帮助防止 DNS 中毒影响其网站的访问者。

启用 DNS 安全扩展 (DNSSEC)

DNS 的设计并未考虑到保护。系统不需要验证对 DNS 请求的响应。 DNSSEC 通过要求增加 DNS 验证步骤来帮助填补这一安全空白。它使用加密签名来保护 DNS 查询的安全。

选择值得信赖的 DNS 托管服务

如果您拥有一个网站，正确的 DNS 托管服务对于安全性以及速度、性能和可扩展性来说是不可或缺的。不同 DNS 托管服务的安全标准可能有所不同，因此请进行研究并确定最适合您网站的标准。

员工培训

对于公司来说，对员工进行网络安全最佳实践培训可以帮助防止社会工程攻击得逞。社会工程和其他类型的在线攻击可能会导致网络漏洞，这些漏洞可能被用来造成 DNS 中毒，甚至导致数据泄露。

威胁防御团队需要持续警惕 IP 欺骗和 DNS 欺骗，并使用入侵检测系统 (IDS) 来监控异常模式的流量。通过保持最新的安全软件和知识的更新，他们可以帮助防止攻击并在发生攻击时减轻损失。

保护您的网络流量

通过正确的策略，您可以帮助避免 DNS 中毒和其他黑客伎俩。但是，通过可靠的 VPN 来补充良好的习惯将极大地改善您的在线隐私。

Avast SecureLine VPN 对您的网络流量进行加密，以帮助保护您的在线活动（包括 DNS 请求）免受黑客、ISP 和网站的攻击。它还提供与公共 Wi-Fi 的安全连接，这可能成为网络攻击的温床。不用担心 DNS 中毒，通过 Avast 享受最美好的在线生活。