DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。
基本原理
DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问百度域名,可以把访问改为202.108.22.5,从而绕开域名劫持 。
如何判定DNS有没有被劫持
1)首先如何判定我们的DNS有没有被劫持,DNS的用途是你在网址栏里输入购物网站网址的时候,通过DNS解析,系统会获取到购物网站IP地址。如果你的DNS被劫持,那么首先你的信息会被盗取和记录,随后在去访问购物网站的IP地址。
例如:我们上一号店的网址,在网址里输入:www.yhd.com
IE的地址栏里如果直接显示的是www.yhd.com的话,那么证明你的DNS是正常的。
如果你的地址栏会跳转几次,显示诸如:http://www.yhd.com/?tracker_u=6258&tracker_type=1&website_id=854281&uid=009af5867212be1817c0
这种后面跟了一大串,地址的话,那么证明你的DNS被劫持了。无论你怎么刷新和重新输入www.yhd.com,你仍然会看到带有一大串字母的网址。
2)还有一种方法我们可以看下自己的DNS是不是被劫持。
你可以在开始菜单-运行-输入cmd-回车
在窗口里输入tracert www.yhd.com
这个是查看从我们电脑到一号店服务器经过了多少个路由。很多情况下,如果被DNS劫持,我们的信息就是被劫持到国外的服务器上去(为什么会去国外,因为劫持信息是违法的,运营商心知肚明,放在国外有利于毁灭证据。)但也有很大一部分是劫持到国内的服务器上,那么从ip地址上你就看不出明显的区别。除非你是专业的。