Tencent Cloud: Es wurde festgestellt, dass eine große Anzahl inländischer Heimrouter von DNS gekapert wurde, und der Server wurde nun wiederhergestellt

Laut Nachrichten vom 9. August hat Tencent Cloud DNSPod heute offiziell ein Dokument herausgegeben, in dem es heißt, dass festgestellt wurde, dass die DNS-Auflösungskonfiguration einer großen Anzahl inländischer Heimrouter manipuliert wurde, was den normalen Website- und App-Zugriff beeinträchtigt. Diese Situation begann im Mai 2024 aufzutreten und der konzentrierte Ausbruch erreichte am 5. August seinen Höhepunkt. Am 7. August wurde durch Tests bestätigt, dass der Domainname, der den großflächigen Ausbruch dieses Fehlers verursachte, auf dem Abnormalen wiederhergestellt wurde DNS-Server, unterliegt jedoch TTL. Aufgrund der Auswirkungen des lokalen Caches des Clients kommt es bei der Wiederherstellungszeit des Clients zu einer gewissen Verzögerung. Unter normalen Umständen wird beim Zugriff eines Benutzers auf eine Website oder App eine Anfrage an den DNS-Server gesendet, um die IP-Adresse aufzulösen, die dem Domänennamen der Website entspricht. Der DNS-Server gibt die richtige IP-Adresse zurück und das Gerät des Benutzers stellt eine Verbindung mit dem Zielserver her und greift auf die Website zu.

Aber bei einem DNS-Hijacking-Angriff gibt der böswillige DNS-Server eine falsche IP-Adresse zurück, was dazu führt, dass der Benutzer auf die falsche Website zugreift oder nicht auf die Zielwebsite zugreifen kann.

Tencent Cloud bietet offiziell einen Selbsttestplan an, der wie folgt zusammengefasst ist:

Überprüfen Sie zunächst, ob die primäre DNS-Konfiguration Ihres Routers so geändert wurde, dass sie der folgenden IP ähnelt (einschließlich, aber nicht beschränkt auf die folgende IP). . Wenn es auf die folgende IP geändert wurde und der sekundäre DNS auf 1.1.1.1 geändert wurde, bestätigt dies im Grunde, dass der DNS Ihres Heimrouters gekapert und manipuliert wurde.

1. 122.9.187.125
2. 8.140.21.95
3. 101.37.71.80
4. 47.102.126.197
5. 118.31.55.110
6. 47.109 .22.11
7. 47.113.115.236
8. 47.109.47.151
9. 47.108.228.50
10. 39.106. 3.116
11. 47.103.220.247
12. 139.196.219.223
13. 121.43.166.60
14. 106.15.3.137

Wenn die auf Ihrem Router konfigurierte DNS-Server-IP nicht in der Liste oben ist, Sie Die Entführung kann durch das folgende typische bestätigt werden Eigenschaften Verhalten:

1. Die TTL des Domänennamenauflösungsdatensatzes wird auf 86400 Sekunden geändert, d. h. der Domänennamenauflösungsdatensatz wird 1 Tag lang zwischengespeichert. Sie können die Befehlsprüfung auf einem Terminal ausführen, das auf das öffentliche Netzwerk zugreifen kann (z. B. einem Mac-Computer oder einem Linux-Cloud-Server): dig @122.9.187.125dnspod.cn. Dabei ist 122.9.187.125 eine Beispiel-IP-Adresse, die Sie durch die IP-Adresse des DNS-Servers Ihres Heimrouters ersetzen können.

2. Es gibt ein zeitweiliges Problem, dass eine große Anzahl von Domänennamen nicht normal aufgelöst werden kann und SOA-Einträge mit NXDOMAIN+-Fehlern anstelle normaler A-Einträge oder CNAME-Einträge zurückgegeben werden. Sie können zur Überprüfung den folgenden Befehl ausführen:

dig @122.9.187.125 test.ip.dnspod.net

wobei 122.9.187.125 eine Beispiel-IP-Adresse ist, können Sie diese durch die IP-Adresse des DNS-Servers Ihres Heimrouters ersetzen.

3. Die DNS-Version ist ungebunden 1.16.2. Überprüfung des ausführbaren Befehls: dig @122.9.187.125 version.bind chaos txt. Dabei ist 122.9.187.125 eine Beispiel-IP-Adresse, die Sie durch die IP-Adresse des DNS-Servers Ihres Heimrouters ersetzen können.

Wenn Sie bestätigen, dass Sie auf die oben genannte Situation gestoßen sind, empfiehlt Tencent Cloud, dass Benutzer von Heimroutern die Firmware des Heimrouters aktualisieren und den DNS-Server auf das rekursive DNS des Betreibers oder ein bekanntes öffentliches DNS wie 119.29.29.29 ändern, um den Normalzustand sicherzustellen Auflösung.

Das obige ist der detaillierte Inhalt vonTencent Cloud: Es wurde festgestellt, dass eine große Anzahl inländischer Heimrouter von DNS gekapert wurde, und der Server wurde nun wiederhergestellt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!