“路由器劫持”是什麽意思?
“路由器劫持”是指路由器被攻擊劫持。
DNS劫持又叫域名劫持,指攻擊者利用其他攻擊手段 (比如劫持了路由器或域名服務器等),篡改了某個域名的解析結果,使得指向該域名的IP變成了另壹個IP,導致對相應網址的訪問被劫持到另壹個不可達的或者假冒的網址,從而實現非法竊取用戶信息或者破壞正常網絡服務的目的。
攻擊者通常會通過兩種方式實現DNS劫持:
1、是直接攻擊域名註冊商或者域名站點獲取控制域名的賬戶口令,這樣可以修改域名對應的IP地址;
2、是攻擊權威名稱服務器,直接修改區域文件內的資源記錄。
對於企業和機構客戶而言,遭遇DNS劫持是非常嚴重的問題,它會導致機構失去對域名的控制,壹旦攻擊實現,機構的站點將不能訪問,或者用戶可能會訪問到偽造的站點。當用戶接入如支付寶,銀行等合法站點時遭遇域名劫持,用戶將面臨個人賬戶和敏感信息泄露,財產損失等風險。
擴展資料:
針對DNS所暴露的問題所采用的防禦和緩解措施大致有以下三種:
1、DNSSEC
安全域名系統(域名系統安全擴展)DNSSEC是專門針對檢測仿冒性攻擊而設計的。DNSSEC目的是讓終端用戶的域名解析系統能夠獲知所解析的域名是否真正有效,從而避免用戶在仿冒的網站上將自己的重要信息泄露給攻擊者。需要註意的是DNSSEC本身並不提供對DNS數據的加密,而只是提供數據真實性的檢驗。
2、Anycast
Anycast (任撥)是壹種網絡路由方式,通過部署Anycast,,提供相同服務的壹組服務器可以使用相同的IP地址,客戶端的請求數據將會被轉發到這組服務器中路由拓撲結構最近的壹臺主機上。
Anycast可以用來抵抗DDoS攻擊,當攻擊者通過僵屍網絡發動DDoS攻擊時候,由於僵屍網絡的主機具有不同的IP地址和地理位置,這些來自僵屍網絡的流量會被發送到的不同的主機,正因如此,幾乎所有的根域名服務器都已經部署了Anycast,這種方式可以理解為用分布式防禦對抗分布式攻擊。
3、響應率限制
響應率限制是指允許權威服務器可以統計自身所發送的來源於相同的DNS查詢所對應的DNS響應的頻次,權威服務器可以設置壹個發送次數的閾值;
規定在某壹段時間內,若發送響應的頻次超過設定的閾值,權威名稱服務器會停止發送響應,並且持續壹段時間,若在這段時間內,權威名稱服務器沒有收到同樣頻次的查詢,則取消限制。
百度百科-DNS劫持