【ITBEAR】8月9日消息,近期,騰訊云DNSPod官方發(fā)布了一則重要通知,指出國內(nèi)大量家用路由器的DNS解析配置遭遇了篡改問題,這一事件嚴重影響了用戶的正常網(wǎng)站和App訪問體驗。
據(jù)通報,該問題自2024年5月開始浮現(xiàn),并于8月5日達到爆發(fā)峰值。幸運的是,截至8月7日,經(jīng)過緊張的測試與確認,導致此次大規(guī)模故障的主要域名在異常的DNS服務器上已經(jīng)恢復正常。然而,由于TTL(Time To Live)設置及客戶端本地緩存的影響,用戶端的恢復進程可能會存在一定的延遲。
據(jù)ITBEAR了解,在正常情況下,用戶訪問網(wǎng)站或App時,其設備會向DNS服務器發(fā)送請求,以解析網(wǎng)站域名對應的IP地址。DNS服務器隨后返回正確的IP地址,使用戶的設備能夠與目標服務器建立連接并順利訪問網(wǎng)站。然而,在DNS劫持攻擊中,惡意DNS服務器會提供錯誤的IP地址,導致用戶可能被引導至錯誤的網(wǎng)站,或者根本無法訪問目標網(wǎng)站。
為了幫助用戶自查是否受到此次DNS篡改事件的影響,騰訊云官方提供了一套詳細的檢查方案。首先,用戶應檢查其路由器的主DNS配置是否被修改為以下列出的IP地址之一(包括但不限于):122.9.187.125、8.140.21.95等。如果發(fā)現(xiàn)主DNS配置被修改,并且輔DNS被設置為1.1.1.1,那么基本可以斷定,該家用路由器的DNS配置已被劫持篡改。
如果用戶路由器上配置的DNS服務器IP不在上述列表中,還可以通過以下特征來識別是否存在DNS劫持行為:一是域名解析記錄的TTL被修改為86400秒,即所有域名解析記錄都會被緩存一天;二是間歇性出現(xiàn)大量域名無法正常解析的問題,返回NXDOMAIN+錯誤的SOA記錄,而非正常的A記錄或CNAME記錄;三是DNS版本為unbound 1.16.2。用戶可以通過執(zhí)行特定的dig命令來檢查這些特征。
針對已經(jīng)確認受到影響的用戶,騰訊云建議家用路由器用戶盡快升級其路由器的固件,并將DNS服務器修改為運營商的遞歸DNS或知名的公共DNS,如119.29.29.29,以確保能夠恢復正常的域名解析功能。
