Tencent Cloud：国内の家庭用ルータが多数DNSに乗っ取られたことが判明、サーバーは復旧済み

8月9日のニュースによると、Tencent Cloud DNSPodは本日正式に文書を発行し、多数の国内ホームルーターのDNS解決設定が改ざんされ、通常のWebサイトやアプリへのアクセスに影響を与えていることを検出したと発表した。この状況は2024年5月から発生し始め、8月5日に集中発生のピークに達しました。8月7日現在、本障害の大規模発生の原因となったドメイン名が異常復旧していることを試験により確認しました。 DNS サーバーですが、クライアントのローカル キャッシュの影響により、クライアントの回復時間にある程度の遅れが生じます。通常の状況では、ユーザーが Web サイトまたはアプリにアクセスすると、Web サイトのドメイン名に対応する IP アドレスを解決するリクエストが DNS サーバーに送信されます。 DNS サーバーは正しい IP アドレスを返し、ユーザーのデバイスはターゲット サーバーとの接続を確立して Web サイトにアクセスします。

しかし、DNS ハイジャック攻撃では、悪意のある DNS サーバーが間違った IP アドレスを返し、ユーザーが間違った Web サイトにアクセスしたり、ターゲット Web サイトにアクセスできなくなったりします。

Tencent Cloud は、次のように要約されたセルフチェック プランを公式に提供しています:

まず、ルーターのプライマリ DNS 構成が次の IP (次の IP を含むがこれに限定されない) と同様に変更されているかどうかを確認します。次の IP に変更されており、セカンダリ DNS が 1.1.1.1 に変更されている場合、これは基本的にホーム ルーターの DNS がハイジャックされ、改ざんされていることを確認します。

1. 122.9.187.125
2. 8.140.21.95
3. 101.37.71.80
4. 47.102.126.197
5. 118.31.55.110
6. 47.109 .22.11
7. 47.113.115.236
8. 47.109.47.151
9. 47.108.228.50
10. 39.106。 3.116
11. 47.103.220.247
12. 139.196.219.223
13. 121.43.166.60
14. 106.15.3.137

ルーターに設定されているDNSサーバーIPが上記のリストにない場合は、DNS hiジャッキは以下の典型的な方法で確認できます。特徴 動作:

1. ドメイン名解決レコードの TTL が 86400 秒に変更されます。つまり、ドメイン名解決レコードは 1 日間キャッシュされます。コマンド チェックは、パブリック ネットワーク (Mac コンピュータや Linux クラウド サーバーなど) にアクセスできる端末で実行できます: dig @122.9.187.125dnspod.cn。ここで、122.9.187.125 は IP アドレスの例であり、ホーム ルーターの DNS サーバーの IP アドレスに置き換えることができます。

2. 多数のドメイン名が正常に解決できず、通常の A レコードまたは CNAME レコードの代わりに NXDOMAIN+ エラーのある SOA レコードが返されるという断続的な問題が発生します。次のコマンドを実行して確認できます:

dig @122.9.187.125 test.ip.dnspod.net

122.9.187.125 は IP アドレスの例であり、ホーム ルーターの DNS サーバーの IP アドレスに置き換えることができます。

3. DNS バージョンはアンバインド 1.16.2 です。実行可能コマンドのチェック: dig @122.9.187.125 version.bind Chaos txt。ここで、122.9.187.125 は IP アドレスの例であり、ホーム ルーターの DNS サーバーの IP アドレスに置き換えることができます。

上記の状況が発生したことを確認した場合、Tencent Cloud は、ホーム ルーターのユーザーがホーム ルーターのファームウェアをアップグレードし、DNS サーバーをオペレーターの再帰 DNS または 119.29.29.29 などのよく知られたパブリック DNS に変更して正常に動作することを推奨します。解決。

以上がTencent Cloud：国内の家庭用ルータが多数DNSに乗っ取られたことが判明、サーバーは復旧済みの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。