弧度SEO网站优化技巧.网络源码程序分享

当前位置:首页 > SEO优化工具 > ·

seo黑帽技术原理之网站DNS劫持的应对方法

  说到网站劫持,站长们一定并不陌生,如何才能有效发现网站被劫持并快速解决网站劫持问题,是很多网站搭建管理员头疼的问题。网站DNS劫持-域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应。其技术效果就是对特定的网络不能反应或访问的是假网址。DNS劫持是网络十分常见和凶猛的一种攻击手段,且不轻易被人察觉。  

  网站快照被黑帽seoDNS劫持

  seo黑帽技术原理之网站DNS劫持的应对方法

    一、网站劫持技术讲解
  
  网站劫持:是指打开一个网址的时候,出现一个不属于网站所有的广告,或者是跳转到某个不属于本站内容的页面。网站劫持目前分为站内的快照JS劫持和站外的DNS劫持两大类。本篇主讲seo技术中黑帽网站DNS劫持技术原理和相关的基础步骤知识。(PS:网站快照JS劫持技术在另外一篇已经详细讲解了。传送–》》网站黑帽seo基础手法之网站快照劫持排名原理)
  
  通常网站域名劫持会通过以下几种方式:
  
  1、 网站域名泛解析
  
  2、 浏览器劫持
  
  网站浏览器域名劫持,当你使用一些浏览器的时候,会自动出现一个浏览器的广告新闻
  
  3、 黑客攻击种植木马程序
  
  这个通常是指被网站植入木马程序,本来想进入A的苏州seo优化的网站,结果进入了B的亳州seo推广的网站,如:本来输入的是www.huduseo.com 却跳转到www.axx.com 上了,这样基本上就是黑客劫持了网站。
  
  4、 运营商的劫持
  
  如果你的页面不是泛解析,也不是你网站程序被黑客攻击,那么就属于这个“不可描述”的劫持了。博主以前用电信的百兆光纤宽带就遇见过,后来打电话投诉才解决。
  
  二、网站劫持的危害
  
  1、跳转到其它地址,用户无法正常访问,网站流量受损
  
  2、通过泛解析生成大量子域名,共同指向其它地址。跳转到非法网站会造成网站被百度“降权”
  
  3、域名被解析到恶意钓鱼网站,导致用户财产损失,造成客户投诉。
  
  4、经常弹出一些广告,使客户不喜欢查看网站,造成信誉度下降。
  
  三、查看网站被劫持方法
  
  网站被劫持后,通常情况下你基本很难第一时间被发现(当然黑客攻击那个除外,那个太明显了,基本就相当于不是你的站了),通常情况下我们会使用SITE、百度站长平台工具
  
  1、SITE:通过SITE可以查看被百度收录的页面,进行查看,有异常信息紧急处理。
  
  2、通过百度站长工具的抓取诊断来查看是否有劫持搜索引擎的木马程序。
  
  3、经常打开网站看下是否会进行跳转,来判断是否有运营商的劫持。
  
  四、网站被劫持处理
  
  1、网站域名被解析
  
  关闭域名的泛解析,进入了域名管理后台之后点击我们的域名找到带*号的域名解析,删除掉就可以了。
  
  2、黑客劫持
  
  对于备份文件,找到被修改的文件,清理木马程序即可(注意,养成备份习惯,最少每个星期备份一次)
  
  PS:对于以上两点,昨晚博主特意请教了seo会所俱乐部里的相关大佬。网站安全防御大佬给出了两点很好的快速解决方案。
  
  发现迅速通知运营商并发起工单要求更换域名解析服务的公网、私网IP地址,并开启域名保护。然后进行网站的解析地址更换和DNS地址更换。
  
  进行网站的HTTPS证书申请并开启全站https服务。
  
  当然前提是你已经找到劫持JS文件或者病毒然后清除了网站劫持病毒。
  
  3、浏览器被劫持
  
  这个通常情况下是浏览器自带的广告推广,特别是手机端非常的多,我一般都直接卸载,重新安装一个百度浏览器(不是广告)。当然现在360卫士已经能完美解决了。
  
  4、运营商劫持
  
  这个劫持是最难以处理的,通常大家遇到的也是这种情况,如何处理这种情况就需要讲到HTTPS加密了
  
  1、https协议需要到ca申请证书,一般免费证书很少,需要交费。
  
  2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
  
  3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  
  4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
  
  在通常的运营商的劫持中,使用https加密,可以使劫持下降90%左右。
  
  五、网站dns劫持常见种类原理
  
  一:路由器dns劫持
  
  你本地的网络连接的dns是通过路由器获取的,假如有一天你家里的路由被黑客入侵了,入侵者修改了你家里路由器的dns,那么他可以对你访问记录非常清楚,如系在文件,流量记录。既然解析都通过dns,我们完全可以自建dns,来进行攻击。
  
  劫持攻击方向:
  
  1、路由器漏洞
  
  2、 设备漏洞
  
  3、网站漏洞感染(PS:此类算是网站木马的延申不探讨)
  
  网站DNS劫持步骤:自建dns(本解说是window)– 配置劫持域名–转发器配置– 配置劫持域名A记录– 反向代理搭建
  
  跟路由器劫持dns一样,自建dns,之后把域名的dns解析配置的A记录解析到恶意的反向代理,反向代理中还是要指定upstream,跟a记录劫持一样,不然造成死循环。
  
  路由器DNS劫持流程
  
  攻击者黑下一批网站;
  
  攻击者往这批网站里植入路由DNS劫持代码(各种变形);
  
  攻击者传播或坐等目标用户访问这批网站;
  
  用户访问这些网站后,浏览器就会执行“路由DNS劫持代码”;
  
  用户的家庭/公司路由器如果存在漏洞就会中招;
  
  用户上网流量被“假DNS服务器”劫持,并出现奇怪的广告等现象;
  
  应对方法》》修改默认的路由器登陆账号与密码。当然360卫视能很好帮你解决!!!
  
  路由器DNS劫持正在发生判断
  
  操作系统提示系统host文件正在被修改,host文件的优先级是高于DNS服务器的,操作系统在访问某个域名的时候会先检测host文件。如果你的host文件被修改,那么很可能就是被劫持了,在劫持范围内的域名都会被跳转到不正常的ip,也许就是某个钓鱼网址,后果可想而知。
  
  二:网站域名dns劫持
  
  当你通过社工拿到了某个域名权限, 但是你的目的是getshell,这时候你可以做反向代理,可以从两方面下手去做。
  
  1、网站域名A记录劫持
  
  直接修改域名劫持到A记录的你的恶意反向代理,但是这时候反向代理必须有配置upstream,在upstream指定原域名解析的ip地址,路由器劫持dns没有配置upstream 是因为上层的dns还可以解析到劫持域名的真实ip,而你这时候意见把A记录解析修改到了你的恶意反向代理机器,不去指定解析的地址, 上层找到解析的地址还是恶意的反向代理,形成一个死循环,永远打不开网站。
  
  域名A记录劫持
  
  www.****.org 192.168.182.128
  
  反向代理 192.168.182.129
  
  为什么要劫持A记录?
  
  如你通过社工之类拿到了域名的控制权限,这时候你想获取他的后台地址,或者cookie等你就需要这样做。
  
  当你已经控制***.org的域名解析权限,现在我们要做的是把www.***.org的A记录解析到192.168.182.129。让反向代理去访问真实的ip(也就是192.168.182.128),在反向代理的时候我们动手脚,插个js代码进去。
  
  修改域名A记录
  
  修改域名到反向代理服务器 192.168.182.129
  
  反向代理服务器搭建(192.168.182.129)
  
  绑定域名为www.****.org 端口80,并指定上游(upstream)地址是192.168.182.128,必须指定上游地址(upstream),只有proxy_pass无upstream他会自动请求解析A记录。
  
  路由器dns劫持那块没有用upstream是因为域名的A记录的iP地址你可以通过proxy_pass获取到。
  
  而现在域名A记录解析是反向代理机器也就是本机(192.168.182.129),如不使用upstrema去指定真实的IP地址,proxy_pass直接去解析到的是本地IP,那么就会造成死循环,一直解析的都是本机。
  
  下面就是反向代理配置。
  
  劫持成功–成功的给**.org的植入safe.js代码
  
  2、网站域名dns劫持
  
  跟路由器劫持dns一样,自建dns,之后把域名的dns解析配置的A记录解析到恶意的反向代理,反向代理中还是要指定upstream,跟a记录劫持一样,不然造成死循环。
  
  Dns服务反向代理软件:
  
  Dns win
  
  WinMyDNS
  
  微软自家
  
  Dns linux
  
  dnschef “msfconsole auxiliary/server/fakedns”
  
  Powerdns bind 等 linux开源项目太多,有很多,完全取决于自己的习惯,用自己最喜欢的就好。
  
  反向代理
  
  Squid Varnish nginx 或者nginx 衍生版(Tengine Openresty)
  
  黑帽seo的网站域名DNS劫持排名技术原理解读
  
  攻击手法不仅仅是替换网页内容 插入js,如劫持你路由器的dns, 连接3389也是输入域名也是通过dns解析的,我完全可以把A记录劫持我本地,连接3389是我本机的机器,之后安装WinlogonHack,来记录密码,WinlogonHack需要改成即使是错误密码也要记录,不然记录不到。然后的操作就是把www.****.com解析到我vps主机的ip
  
  DNS劫持全系操作步骤详解
  
  1.Cain进行DNS劫持、ARP欺骗。
  
  2.小凡顶尖劫持插件程序。
  
  3.浪花DNS域名劫持。
  
  4.netfuke劫持工具。
  
  5.修复DNS劫持,使用OpenDNS解决DNS域名劫持。
  
  6.一次利用社会工程学完成的域名劫持攻击。
  
  7.入侵DNS解析服务器。
  
  8.以IP冲突的方法来劫持域名。
  
  9.openresty+lua在反向代理服务
  
  10.Squid和Nginx是非常优秀的反向代理。
  
  11.假扮域名注册人和域名注册商通信。
  
  这类域名盗窃包括使用伪造的传真,邮件等来修改域名注册信息,有时候,受害者公司的标识之类的也会用上。增加可信度。
  
  hushmail.com被盗窃就是一次典型的例子。当时一名域名劫持者使得注册服务提供商相信了他的身份,然后修改了该公司的域名管理员邮件信息。然后攻击者使用管理员邮件提交了密码重设请求。最后。攻击者登录域名服务商。修改密码。更改DNS记录,然后指向自己的服务器。
  
  12.是伪造域名注册人在注册商处的账户信息。
  
  攻击者伪造域名注册人的邮件和注册商联系。然后卖掉域名或者是让买家相信自己就是域名管理员。然后可以获利
  
  13.是伪造域名注册人的域名转移请求。
  
  这类攻击通常是攻击者提交一个伪造的域名转让请求,来控制域名信息。
  
  例如在2001年,攻击者向服务商提交了一封信。谎称原注册人已经被公司解雇,须将域名转移给自己,结果他成功地控制了sex.com域名。最后被判了6500万美元罚款。
  
  14. 是直接进行一次域名转移请求。
  
  这类攻击有可能改dns,也有可能不改,如果不改的话。是很隐蔽的。但最终盗窃者的目的就是卖掉域名,当时blogtemplate4u.com 和 dhetemplate.com
  
  两个域名是由美国一家公司通过godaddy注册管理的。结果某一天,一个盗窃者使用该公司管理员的帐号密码登录到域名管理商,执行了转移请求。注意。他没有更改dns记录。域名在转移期间。一切服务都没有受到影响。
  
  15.是修改域名的DNS记录。
  
  未经授权的DNS配置更改导致DNS欺骗攻击。(也称作DNS缓存投毒攻击)。这里。数据被存入域名服务器的缓存数据库里,域名会被解析成一个错误的ip,或是解析到另一个ip,典型的一次攻击是1997年Eugene Kashpureff黑阔通过该方法重定向了InterNIC网站。
  
  文章最后的网站安全防攻击提醒
  
  建议公司的话,可以提供两个以上的域名,如果用户被攻击了还可以访问另一个。如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问,从而绕开域名劫持。
  
  互联网公司应采取以下措施:
  
  1、互联网公司准备两个以上的域名,一旦黑客进行DNS攻击,用户还可以访问另一个域名。
  
  2、互联网应该对应急预案进行进一步修正,强化对域名服务商的协调流程。
  
  3、域名注册商和代理机构特定时期可能成为集中攻击目标,需要加以防范。
  
  4、国内有关机构之间应该快速建立与境外有关机构的协调和沟通,协助国内企业实现对此事件的快速及时的处理。
 

版权保护: 转载请保留链接: http://www.huduseo.com/seogj/250.html

1 条回应

注册为本站用户,登录后才可以发表评论!

  1. 6662019-6-21 · 3:07

    长沙弧度SEO轻博客,陪你看看SEO优化区块!长沙SEO【网站优化技术】_长沙网络推广_长沙弧度seo网络公司