加强DNS安全之技术详解

DNS是整个互联网的基础，无论是个人还是大小互联网公司，都可能因为DNS被恶意篡改而蒙受损失。恶意DNS的影响太大，除了对安全造成巨大隐患还会降低用户访问网络资源的速度，因而连一向忍耐力超强的电信运营商都无法容忍伸向DNS的黑手，第一次因此而大范围启用了BGP牵引。

BGP牵引的实质为电信运营商广播出长掩码高优先级路由，表现为直接夺取黑客的公网IP地址，无论黑客的设备躲在全球任何角落都奏效(对付固定IP做恶的能力，如果将安全厂商的软件比作常规武器，电信运营商的BGP牵引就如同核武)，但BGP牵引这招的威力过大、搞不好容易产生后遗症，因而仅能在自身的网络范围内谨慎使用。

黑客利用大部分人不修改家用宽带路由器默认用户名密码这一疏忽，引诱人们去浏览其控制的WEB网页从而修改了几百万个家用宽带路由器的DNS，靠DHCP协议从家用宽带路由器自动获取DNS的PC及通过WiFi上网的手机，长期使用黑客的DNS，没有任何网络安全可言，如下图所示：

114DNS为电信运营商搭建了专门的BGP-DNS系统，该BGP-DNS系统可直接向电信骨干路由器注入32位掩码的高优先级BGP路由，电信运营商核心路由器接受该BGP路由并在自身的网络内进行受限广播。例如某恶意DNS的IP地址为某国IP_A，BGP-DNS广播出IP_A的32位掩码BGP路由之后，原本流向恶意DNS的流量被将会被BGP-DNS“吸过去”，在阿里、百度、腾讯等公司的授权下，BGP-DNS系统将访问量较大的网页主机名如www.taobao.com、www.tmall.com、www.baidu.com、user.qzone.qq.com 解析成特别的IP地址，阿里、百度、腾讯各自为此架设了专门的警示WEB服务器。

DNS被恶意篡改过的用户，例如DNS被篡改为IP_A的用户去访问www.taobao.com时，无法再看到淘宝的正常网页、却看到了淘宝的警示网页如下图，用户可按警示页面的引导修复其家用宽带路由器的DNS。目前，DNS被恶意篡改过的大部分中国电信用户，只有修复其路由器的DNS并重启PC之后，才能去淘宝购物，迫使用户提升网络安全，同时也改善用户访问网络资源的速度(因恶意DNS对CDN也很不友好)。

为避免DNS再次被黑客篡改，一定要修改家用宽带路由器的默认用户名和密码，否则就算现在修复了，DNS还是很可能再次被黑客篡改，修改用户名密码的方法请参见:http://www.114dns.com/alert.html 之 “操作演示”。

建议DNS还没有被篡改的人，抓紧时间去修改家用宽带路由器的默认用户名和密码。从目前电信运营商的BGP-DNS流量来看，晚高峰黑客曾承载高达每秒10万次的DNS请求，这个量太大了，希望大家谨慎。

114DNS公布此技术细节，主要目的有二，(1)满足技术人员的探索需求，同时消除部分人对腾讯百度阿里、特别是对电信运营商本次DNS整治工作积极行为的误解;(2)断绝黑客大规模篡改DNS的念想：电信运营商BGP-DNS上的几条命令就可将黑客苦心经营的DNS一锅端。