上周我参加了微步在线的一个活动,就是那个搞威胁情报的微步在线,之前幺哥介绍过他们"黑客情报官“薛锋:真相只有一个,我们必须找到它
还记得它的老板薛锋么,就是那位“挖微软漏洞挖得微软直接挖他到微软”的薛锋。我之前没见过他,但他一走进来我就知道他是薛锋,因为他和乔帮主有个同样的爱好,开发布会总穿同一款衣服。
幺哥曾经采访他时,他穿了件灰色polo衫。我这次看见他,他还是那微步在线,那发布会,那灰色polo衫。
调侃归调侃,薛巨巨的演讲还是挺值得听的。过程中,他提到了一个很有意思的数据:根据Cisco的调查数据,91.3%的恶意软件需要依赖DNS解析后才能正常通讯。
相当于,在这个过程中黑客扮演傀儡师的角色,恶意链接/软件是傀儡师丢出的傀儡。当你触发了某种响应机制,傀儡师就可以通过控制傀儡控制你的计算机。而Cisco的调查数据显示,DNS解析就是傀儡师那根触发率高达91.3%的鱼线。
DNS是什么?
这要从我们是如何上网的说起。
通常情况下我们访问一个网站,只要输入网址,摁下回车就完事了。而在我们看不见的地方,我们的设备拿着冲浪板端庄的站在网站服务器门口,敲敲门说:是我啊,老P头。对面服务器一听,嗯是常来的那个肥宅,大门一开,我们就可以开始冲浪了。
因此我们在访问网站时实际上是在访问网站的服务器,每个服务器都有个IP地址,想要访问服务器必须得知道他的IP地址才行。根据目前采用最广泛IPV4版协议,IP地址由32个二进制位组成,但我们通常用4段,不超过三位的数字表示,可以是8.8.8.8,也可以是117.48.202.168. 。这么一大串数字只表示一个网站是不是有点懵逼?是不是想起了高中被历史年表支配的恐惧?
如此反人类的的产物当然难以在人间苟活,很快人类就发明了域名来替代记忆冗长的IP地址,比如 www.qianhei.net 就是一个合格的域名。
那么问题来了,我们的设备如何知道各个域名所对应的IP地址的呢?
还是以冲浪为例,你听隔壁老王说,有个叫Oceanside的地方冲浪特别棒,风景也漂亮,蠢蠢欲动想试试。可不知道具体地址在哪,总不能在地图上一点点找,效率太低。于是你打开了谷歌地图,一搜发现离家不远, 当下就拿上冲浪板出发了。
将访问网站的流程代入这个例子,不难理解「Oceanside」就是「域名」,「具体地址」是「IP地址」,当中将他们联系起来的是「谷歌地图」,也就是「DNS(域名系统)」。「DNS」是一个网络系统,允许我们把对人类友好的域名解析为唯一的地址,相当于上网设备的领路人。
所以当我们点开一个熟悉的网址,却跳转到一个莫名其妙的网站或者弹出广告时,八成就是 DNS 被劫持了。默认状态下,我们使用是运营商的 DNS 服务器,就是那三大家。但这三家也有不靠谱的时候,比如悄咪咪的劫持你的 DNS 给你弹广告之类的。为了避免这样的情况发生,我们还可以手动固定自己的 DNS。比如之前我半天上不了网,后来幺哥帮我排查,最后发现是某运营商的的 DNS 服务器发生大规模宕机…… 从那以后,我就家中常备好几个 DNS 以防万一。
说到这,我良心推荐一下微步在线对个人用户免费提供的DNS防火墙。原理是利用DNS解析机制,在攻击者进行攻击尝试(钓鱼、水坑等)、安装阶段(木马下载等)、命令与控制阶段(木马回连控制端、数据外传等)时进行阻断。简单来说,就是把杀软装在DNS里了,但实际上只是改了一个的DNS,并不需要安装任何软件。
感兴趣的话,可以去他们官网了解一下:https://www.onedns.net/home#s_set_video
网上有很多手动更改 DNS 的教程,想换的浅友可以动动小手搜一下。
来源:
- http://www.ruanyifeng.com/blog/2016/06/dns.html
- https://www.bilibili.com/video/av13068758/?spm_id_from=333.788.videocard.0