当前位置：首页 > news >正文

受欢迎的南昌网站建设说到很多seo人员都转行了

news 2025/7/21 13:39:59

受欢迎的南昌网站建设,说到很多seo人员都转行了,台州网站制作套餐,动态ip如何做网站Part1 前言攻击事件描述如下：当时有几个区的部分用户访问一些网站会跳出菠菜、色情页面，最后工作人员发现这些用户的家用路由器DNS都被篡改了，这些DNS统计下来有几十个，部分DNS服务器被威胁情报标记为恶意ip，然后部分…

Part1 前言

攻击事件描述如下：当时有几个区的部分用户访问一些网站会跳出菠菜、色情页面，最后工作人员发现这些用户的家用路由器DNS都被篡改了，这些DNS统计下来有几十个，部分DNS服务器被威胁情报标记为恶意ip，然后部分路由器密码也被重置。将路由器恢复出厂设置之后，一切恢复正常，但是发现过几天DNS又会被篡改，最后客户通过屏蔽恶意DNS服务器ip地址，解决了这一次攻击事件。

这个事件过去很多年了，攻击者是如何将内网用户的网络设备的DNS改掉的，到现在也没有定论。这几年自己补充了不少基础知识，同时与一个研究路由器固件漏洞的小伙讨论，对以前的资料进行整理分析，最终得出的结论应该就是“DNS重绑定攻击”造成的。

Part2 部分观点研判

首先简单对当时的一些观点进行简要分析：

1 tp-link开启了远程访问功能，存在弱口令。这个不太可能，几乎所有用户家里的路由器买了之后就不会动，没有造成大量用户中招的可能性。

2 使用tp-link的CSRF修改DNS配置漏洞。这个可能性是有，但是tplink这个版本是没有默认密码的，但是不排除普通家庭宽带用户都会把默认密码改为123456等等简单密码，给攻击者带来便利。

3 路由器远程代码执行。这个之前我认为可能性不大，现在认为可能性也是有的。现在的安全研究技术总是在进步，挖掘一个路由器的栈溢出漏洞，已经不像10几年前难度那么大了，而且能够稳定利用。

4 DNS重绑定攻击。前面几种观点，都不能圆满解释攻击者是如何从外网打内网设备的，DNS重绑定攻击是一种可能的手段，接下来看具体分析过程。

Part3 前置基础知识

DNS重绑定攻击介绍

DNS重绑定攻击过程如下：攻击者事先构造好一个网站，想办法以各种形式让用户访问到。当受害者点开一个不明链接地址后，用户就会中招，这个链接地址的网页在用户不知情情况下，绕过浏览器同源限制，以网页中的js代码发起几个http请求，对用户所在内网的设备如TP-Link路由器、物联网设备等发起攻击。由此可见，DNS重绑定攻击是可以从外网直接对内网设备进行攻击的。

浏览器同源策略

同源策略SOP指的是“协议+域名+端口”三者相同，现在主流的浏览器都会使用这个策略。但是同源策略是“协议+域名+端口”，但不是“协议+ip地址+端口”，这就给攻击者可乘之机。

DNS记录的TTL时间

当各地的DNS服务器接受到解析请求时，就会向域名指定的授权DNS服务器发出解析请求从而获得解析记录，这个记录在DNS服务器上保留的时间，就是TTL值。这里需要指出的一点，谷歌chrome浏览器自己也有一个TTL时间，即使你的DNS服务器TTL设置为0，那么谷歌也会在一分钟之后才不用用缓存。

Part4 DNS重绑定攻击过程

为了很好地解释宽带用户内网的家用路由器，在不通外网的情况下，如何被攻击者篡改路由器的DNS记录的，我画了一个比较直观的示意图，方便大家理解“DNS重绑定攻击”。

DNS重绑定攻击示意图

攻击者首先需要能控制DNS解析记录，可以使自己搭建的DNS服务器，自己是域名拥有者。在用户第一次访问www.hacker.com时，DNS返回域名解析记录为攻击者的恶意服务器111.222.333.111，后续访问都解析到192.168.1.1。这样当受害者访问攻击者的页面（http://www.hacker.com）的时候，会从攻击者的服务器上拉取JS攻击代码，后面的对www.hacker.com域名的请求，会指向本地192.168.1.1。虽然DNS解析指向的服务器变了，但是域名没变，浏览器仍然遵循同源策略，这样就可以对内网的路由器进行攻击了。